Перейти к содержанию
Сергей Ильин

Тест антируткитов II (результаты)

Recommended Posts

Fixxxer®
Я уже отвечал на этот вопрос. На момент начала теста темы с тестированием утилиты не было. А DiabloNova тут при том, что он автор антируткита и в его блоге на тот момент (начало тестирования) была размещена последняя версия.

12332010.th.jpg

Ссылка на обсуждение RkU от автора (с регулярно выпускаемыми бета-версиями).

Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит, было бы интересно увидеть и результаты от последней беты (за сегодняшнее число, она в ветке, которую я указал).

Спасибо за ответы на вопросы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит, было бы интересно увидеть и результаты от последней беты (за сегодняшнее число, она в ветке, которую я указал).

Результаты не будут обновляться. Я посмотрю совсем новую версию Xuetr на текущих минусах (буткит, max++, z00clicker)+проверю возможность копирования TDL3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит

Тест сделан и опубликован, ничего обновляться уже не будет, таков закон жанра. Мы лишь можем из интереса посмотреть, как там новая версия Xuetr, докрутили что-то или нет, чтобы удовлетворить поклонников этого антируткита. Хотя я лично думаю, что не будет никакой существенной разницы в результатах - серебро оно и есть серебро, до золота надо 2 балла еще, а это 4 плюса в таблице ;)

На русский сайт не стоит ориентироваться, а про версию 1.2.021 я Сергею говорил.

Так и качали ее с сайта, а там лежит старая :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Тест сделан и опубликован, ничего обновляться уже не будет, таков закон жанра. Мы лишь можем из интереса посмотреть, как там новая версия Xuetr, докрутили что-то или нет, чтобы удовлетворить поклонников этого антируткита. Хотя я лично думаю, что не будет никакой существенной разницы в результатах - серебро оно и есть серебро, до золота надо 2 балла еще, а это 4 плюса в таблице ;)

Да дело не в серебре и золоте, а в понимании, когда и какой утилитой следует пользоваться. Если признаться честно, для меня наибольшую ценность в исследовании представил файл в формате Excel, а не медали и всеобщее признание.

Ладно, и на том спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Так и качали ее с сайта, а там лежит старая

Здесь новая была и есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

С новым Xuetr ничего не поменялось, при max++ видит только заинжекченную dll (старый тоже видел), драйвер нет- поэтому резонно остается "-".

На TDL3 и z00clicker есть лишь SuspiciousDriverObject и ничего более и то мы один раз ему засчитали это за детект (при tdl3) и поставили "+", хотя зря.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Да какая разница, бета-релиз, результаты уже не соответствуют действительности потому что утилиты обновились с исправлениями и повышением детекта, а демо rrepeal 2 видит все тдл3 :) Из всего теста для меня наибольший интерес представляет руткит на котором был бсод, а медали, места и премии мне как-то все равны:) Раз пошла тогда такая пьянка могли бы взять и оригинальный TDL3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Из всего теста для меня наибольший интерес представляет руткит на котором был бсод

Спасибо за фикс, все работает как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

Всё таки жаль, что не протестировали RegRun Partizan. Может хоть вне конкурса проверите, насколько он боеспособен? Меня выручал пару раз, когда антивирусы ничего не находили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

И ещё, может добавить в итоги процент обнаружения руткитов для каждой программы? Потому что предупреждён, значит вооружен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И ещё, может добавить в итоги процент обнаружения руткитов для каждой программы

Так есть там проценты - Таблица 5: Лучшие антируткиты по результатам теста

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

В этой таблице те же баллы, но в процентах. Я же имел ввиду альтернативную разбивку, например:

GMER detect 100% removal 75%

это будет наиболее наглядно и объективно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Молодцы VBA. Никогда не юзал их антируткит, но сейчас начну. Еще бы в антивирус его вкрутить и будет супер

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В этой таблице те же баллы, но в процентах. Я же имел ввиду альтернативную разбивку, например:

GMER detect 100% removal 75%

Так не получится сделать потому, что есть исключения - буткит и 4 малвары заражающие драйвера. Для буткита давалось 0.5 балла за восстановление, допустим это как-то тянет не лечение, но для Max++, Virus.Protector, TDL3 и z00clicker давалось по 0.5 балла за возможность скопировать реальное содержимое системного драйвера для анализа, это не лечение. Поэтому не стоит вводить в заблуждение читателей лишними обобщениями.

http://www.anti-malware.ru/node/2417

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Из всего теста для меня наибольший интерес представляет руткит на котором был бсод, а медали, места и премии мне как-то все равны:)

Если интересуют и потенциальные бсоды, то рекомендую проверить процедуру поиска PspCidTable - в случае ненахождения соответствующих байтиков произойдет разыменовывание первого дворда PsLookupProcessByProcessId.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

А да, есть такое дело :) Спасибо, это будет исправлено в SR2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Так не получится сделать потому, что есть исключения - буткит и 4 малвары заражающие драйвера.

процент детекта-то почему нельзя подсчитать? если программа не смогла найти в зараженной системе ничего подозрительного, то грош ей цена и никакой награды

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
А да, есть такое дело :) Спасибо, это будет исправлено в SR2.

Пожалуйста :) Также небезопасны установщики хуков: если кто-нибудь захочет, то сможет легко спровоцировать бсод после того, как рку перехучит функции.

А вот насчет будущих усовершенствований - имхо хорошо бы исправить такие архитектурные недостатки:

1. Отсутствие информации о неопознанных изменениях в коде. Т.е. если рку не смог правильно проанализировать перехват (а это более чем возможно), то он ничего не скажет о нем.

2. Поиск хуков строго в изменившемся буфере. Это позволяет подменять адреса, являющиеся частью инструкций, или "резать" на два буфера новую инструкцию с помощью байта, совпадающего с прежним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Ответил в личку :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

Vba32 AntiRootkit - бесплатный продукт. Текущий релиз 3.12.4.0 можно скачать здесь: http://anti-virus.by/en/vba32arkit.shtml Но он, конечно, слабенький совсем.
здесь можно скачать демо-версию. Мне кажется, у слов "бесплатно" и "демо" есть различия. Или русскоязычной версии это не касается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Мне кажется, у слов "бесплатно" и "демо" есть различия. Или русскоязычной версии это не касается?

Антируткит бесплатный. Его обсуждение ведется в этой теме

http://www.anti-malware.ru/forum/index.php?showtopic=7367

Там же можно задать вопросы разработчикам ВирусБлокАды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

Подсчитал проценты обнаружения самостоятельно:

GMER 100%

VBA32 92%

RootRepeal 75%

XueTr 75%

Rootkit Unhooker 75%

Sophos 75%

OSAM 67%

SysReveal 67%

KernelDetective 67%

Eset SysInspector 42%

Trend Micro 42%

Panda 17%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов

У меня вопрос как обычного пользователя:

как можно оценить качество антируткит технологий Касперского. Каждый день утром после обновления он проводит поиск руткитов на машине. На сколько качествен его модуль? как это можно оценить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
как можно оценить качество антируткит технологий Касперского.

По результатам тестов на лечение активного заражения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов

тогда не понятен провал VBA32 Antivirus. Их антируткит один из лучших, а антивирус тест на лечение активного заражения просто провалил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×