Тест антируткитов II (результаты) - Страница 2 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Тест антируткитов II (результаты)

Recommended Posts

Fixxxer®
Я уже отвечал на этот вопрос. На момент начала теста темы с тестированием утилиты не было. А DiabloNova тут при том, что он автор антируткита и в его блоге на тот момент (начало тестирования) была размещена последняя версия.

12332010.th.jpg

Ссылка на обсуждение RkU от автора (с регулярно выпускаемыми бета-версиями).

Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит, было бы интересно увидеть и результаты от последней беты (за сегодняшнее число, она в ветке, которую я указал).

Спасибо за ответы на вопросы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит, было бы интересно увидеть и результаты от последней беты (за сегодняшнее число, она в ветке, которую я указал).

Результаты не будут обновляться. Я посмотрю совсем новую версию Xuetr на текущих минусах (буткит, max++, z00clicker)+проверю возможность копирования TDL3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит

Тест сделан и опубликован, ничего обновляться уже не будет, таков закон жанра. Мы лишь можем из интереса посмотреть, как там новая версия Xuetr, докрутили что-то или нет, чтобы удовлетворить поклонников этого антируткита. Хотя я лично думаю, что не будет никакой существенной разницы в результатах - серебро оно и есть серебро, до золота надо 2 балла еще, а это 4 плюса в таблице ;)

На русский сайт не стоит ориентироваться, а про версию 1.2.021 я Сергею говорил.

Так и качали ее с сайта, а там лежит старая :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Тест сделан и опубликован, ничего обновляться уже не будет, таков закон жанра. Мы лишь можем из интереса посмотреть, как там новая версия Xuetr, докрутили что-то или нет, чтобы удовлетворить поклонников этого антируткита. Хотя я лично думаю, что не будет никакой существенной разницы в результатах - серебро оно и есть серебро, до золота надо 2 балла еще, а это 4 плюса в таблице ;)

Да дело не в серебре и золоте, а в понимании, когда и какой утилитой следует пользоваться. Если признаться честно, для меня наибольшую ценность в исследовании представил файл в формате Excel, а не медали и всеобщее признание.

Ладно, и на том спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Так и качали ее с сайта, а там лежит старая

Здесь новая была и есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

С новым Xuetr ничего не поменялось, при max++ видит только заинжекченную dll (старый тоже видел), драйвер нет- поэтому резонно остается "-".

На TDL3 и z00clicker есть лишь SuspiciousDriverObject и ничего более и то мы один раз ему засчитали это за детект (при tdl3) и поставили "+", хотя зря.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Да какая разница, бета-релиз, результаты уже не соответствуют действительности потому что утилиты обновились с исправлениями и повышением детекта, а демо rrepeal 2 видит все тдл3 :) Из всего теста для меня наибольший интерес представляет руткит на котором был бсод, а медали, места и премии мне как-то все равны:) Раз пошла тогда такая пьянка могли бы взять и оригинальный TDL3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Из всего теста для меня наибольший интерес представляет руткит на котором был бсод

Спасибо за фикс, все работает как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

Всё таки жаль, что не протестировали RegRun Partizan. Может хоть вне конкурса проверите, насколько он боеспособен? Меня выручал пару раз, когда антивирусы ничего не находили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

И ещё, может добавить в итоги процент обнаружения руткитов для каждой программы? Потому что предупреждён, значит вооружен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И ещё, может добавить в итоги процент обнаружения руткитов для каждой программы

Так есть там проценты - Таблица 5: Лучшие антируткиты по результатам теста

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

В этой таблице те же баллы, но в процентах. Я же имел ввиду альтернативную разбивку, например:

GMER detect 100% removal 75%

это будет наиболее наглядно и объективно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Молодцы VBA. Никогда не юзал их антируткит, но сейчас начну. Еще бы в антивирус его вкрутить и будет супер

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В этой таблице те же баллы, но в процентах. Я же имел ввиду альтернативную разбивку, например:

GMER detect 100% removal 75%

Так не получится сделать потому, что есть исключения - буткит и 4 малвары заражающие драйвера. Для буткита давалось 0.5 балла за восстановление, допустим это как-то тянет не лечение, но для Max++, Virus.Protector, TDL3 и z00clicker давалось по 0.5 балла за возможность скопировать реальное содержимое системного драйвера для анализа, это не лечение. Поэтому не стоит вводить в заблуждение читателей лишними обобщениями.

http://www.anti-malware.ru/node/2417

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Из всего теста для меня наибольший интерес представляет руткит на котором был бсод, а медали, места и премии мне как-то все равны:)

Если интересуют и потенциальные бсоды, то рекомендую проверить процедуру поиска PspCidTable - в случае ненахождения соответствующих байтиков произойдет разыменовывание первого дворда PsLookupProcessByProcessId.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

А да, есть такое дело :) Спасибо, это будет исправлено в SR2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Так не получится сделать потому, что есть исключения - буткит и 4 малвары заражающие драйвера.

процент детекта-то почему нельзя подсчитать? если программа не смогла найти в зараженной системе ничего подозрительного, то грош ей цена и никакой награды

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
А да, есть такое дело :) Спасибо, это будет исправлено в SR2.

Пожалуйста :) Также небезопасны установщики хуков: если кто-нибудь захочет, то сможет легко спровоцировать бсод после того, как рку перехучит функции.

А вот насчет будущих усовершенствований - имхо хорошо бы исправить такие архитектурные недостатки:

1. Отсутствие информации о неопознанных изменениях в коде. Т.е. если рку не смог правильно проанализировать перехват (а это более чем возможно), то он ничего не скажет о нем.

2. Поиск хуков строго в изменившемся буфере. Это позволяет подменять адреса, являющиеся частью инструкций, или "резать" на два буфера новую инструкцию с помощью байта, совпадающего с прежним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Ответил в личку :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

Vba32 AntiRootkit - бесплатный продукт. Текущий релиз 3.12.4.0 можно скачать здесь: http://anti-virus.by/en/vba32arkit.shtml Но он, конечно, слабенький совсем.
здесь можно скачать демо-версию. Мне кажется, у слов "бесплатно" и "демо" есть различия. Или русскоязычной версии это не касается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Мне кажется, у слов "бесплатно" и "демо" есть различия. Или русскоязычной версии это не касается?

Антируткит бесплатный. Его обсуждение ведется в этой теме

http://www.anti-malware.ru/forum/index.php?showtopic=7367

Там же можно задать вопросы разработчикам ВирусБлокАды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

Подсчитал проценты обнаружения самостоятельно:

GMER 100%

VBA32 92%

RootRepeal 75%

XueTr 75%

Rootkit Unhooker 75%

Sophos 75%

OSAM 67%

SysReveal 67%

KernelDetective 67%

Eset SysInspector 42%

Trend Micro 42%

Panda 17%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов

У меня вопрос как обычного пользователя:

как можно оценить качество антируткит технологий Касперского. Каждый день утром после обновления он проводит поиск руткитов на машине. На сколько качествен его модуль? как это можно оценить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
как можно оценить качество антируткит технологий Касперского.

По результатам тестов на лечение активного заражения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов

тогда не понятен провал VBA32 Antivirus. Их антируткит один из лучших, а антивирус тест на лечение активного заражения просто провалил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×