Перейти к содержанию
Сергей Ильин

Тест антируткитов II (результаты)

Recommended Posts

K_Mikhail
тогда не понятен провал VBA32 Antivirus. Их антируткит один из лучших, а антивирус тест на лечение активного заражения просто провалил

Потому как функции их антируткита не внедрены в основной продукт. Об этом сказано в комментариях к тесту (предпоследний комментарий).

"....В будущем мы планируем взять курс на внедрение технологий, примененных в VBA32 AntiRootkit, в функциональность комплекса в целом". (с) Сергей Уласень, начальник отдела разработки антивирусного ядра компании «ВирусБлокАда»

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Потому как функции их антируткита не внедрены в основной продукт.

Точнее антируткит в составе VBA32 есть, но не интегрирован в сам антивирус. Его нужно запускать руками, и вообще надо знать, что он там есть ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

По-немногу воспроизводим ваши тесты. Каким образом тестировался Kernel Detective в отношении NewRest?

Этот руткит имеет watcher thread восстанавливающий перехваты объекта и обработчика ирп и постоянно восстанавливающий свой файл.

Ваша финальная таблица неверна. Kernel Detective способен его ликвидировать самым тривиальным образом, используя исключительно свои возможности.

http://rapidshare.com/files/380965051/KD_vs._RK.rar.html

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Kernel Detective способен его ликвидировать самым тривиальным образом, используя исключительно свои возможности.

Да, действительно в результатах с Kernel Detective и Rustock ошибка. Kernel Detective будет перетестирован со всеми руткитами и результаты, там где нужно, будут поправлены.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Мне кажется, что команде портала следует больше внимания уделять проведению тестов без ошибок. Насколько я помню, это уже не первая ошибка и это сказывается на репутации.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

DiabloNova, спасибо за сообщение, постараемся как можно оперативнее поправить результаты по Kernel Detective.

Мне кажется, что команде портала следует больше внимания уделять проведению тестов без ошибок.

Будем стараться, в тестах подобно этому иной раз сложно учесть и использовать все особенности софта. Нужно быть на связи с производителями, тогда риски ошибок будут меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Спасибо. Видео предоставлено автором Kernel Detective.

Небольшая ремарка. Теоретически с помощью Kernel Detective, зная как устроена и функционирует самозащита TDL3, можно вполне успешно удалить руткит из системы.

Я считаю, что эта утилита серьезно недобрала баллов в то время как кривой XueTr их перебрал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mrs Ganzalis
У меня вопрос как обычного пользователя:

как можно оценить качество антируткит технологий Касперского. Каждый день утром после обновления он проводит поиск руткитов на машине. На сколько качествен его модуль? как это можно оценить?

Помню как то на Антивирусной школе (av-school.ru) читал статью в которой сравнивались антируткиты AVG, Авиры и еще какие-то помельче. Но самое интересное в выводе - подвели итоги и заявили что все равно самый лучший антируткит встроен в Антивирус Касперского 2009/2010, модуль которго успешно обнаружил все, описанные выше руткиты, а также произвел лечение активного заражения. :) хотя он почему то не участвовал даже в этом тесте. Видимо на деле убедились что даже тестировать не сочли необходимым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Помню как то на Антивирусной школе (av-school.ru) читал статью в которой

нда, реально смахивает на сектанство... ROFL ;)

было бы удивительно на сайте вендора прочитать что-то критическое про свой продукт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
как можно оценить качество антируткит технологий Касперского. Каждый день утром после обновления он проводит поиск руткитов на машине. На сколько качествен его модуль? как это можно оценить?

Это просто - посмотрите результаты нашего недавнего теста на лечение активного заражения. Там почти те же самые вредоносные программы, что и в этом тесте. Антируткит в Антивирусе Касперского на высоте, не сомневайтесь ;)

Видимо на деле убедились что даже тестировать не сочли необходимым.

Mrs Ganzalis, вы же не новичек на форуме, не ужели не видели тест на лечение активного заражения ... с него же ведь и пошла идея сделать этот тест, чтобы проверить как там спец. утилиты себя ведут.

было бы удивительно на сайте вендора прочитать что-то критическое про свой продукт.

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
было бы удивительно на сайте вендора прочитать что-то критическое про свой продукт.

Читайте:

http://forum.kaspersky.com/index.php?showforum=8

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Отчет о результатах тестирование поправлен с учетом ошибок допущенных в ходе тестирования KernelDetective, этот антируткит набирает 7.5 балла (было 6 баллов) и получает Silver Anti-Rootkit Protection Award.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Спасибо, Данила. Нормально, в принципе. Как и у всех.

Чтобы довести что-то до релиза, нужно много труда, нервов, бессонных ночей и мн. др.

Потому я никогда не критикую чужой труд и лояльно отношусь ко всем вендорам, чтобы они не делали со своими продуктами.

Что сделано - то сделано.

Ошибки надо учитывать и обрабатывать, соревноваться в их исправлении, а не тыкать носом других.

А кто из людей не без греха? Кто всегда делает всё без ошибок?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов
Это просто - посмотрите результаты нашего недавнего теста на лечение активного заражения. Там почти те же самые вредоносные программы, что и в этом тесте. Антируткит в Антивирусе Касперского на высоте, не сомневайтесь wink.gif

Не сомневаюсь, но с этим тестом на лечение активного заражения тоже не все чисто:

как я уже тут отмечал антируткит VBA32 один из лучших, но их антивирус тест на лечение активного заражения проваливает. Тут же замечания мол он в антивирус пока не включен или ваше же замечание, что он есть, но надо знать как его включать. Вопрос, а вы его включали в тесте? Если нет, то вопрос, а какие были бы результаты, если бы вы его включили?

Если дело в том, что антивирусы использовались с настройками по умолчанию, то не включение этого модуля по умолчанию - серьезная оплошность компании, выпускающей антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mrs Ganzalis
Это просто - посмотрите результаты нашего недавнего теста на лечение активного заражения. Там почти те же самые вредоносные программы, что и в этом тесте. Антируткит в Антивирусе Касперского на высоте, не сомневайтесь

Ах да. Извинюясь. Сразу не вспомнил про этот тест. Хорошо, теперь по поводу эффективности касперОвского антируткита сомнения сняты окончательно. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Вопрос, а вы его включали в тесте?

Не включали его, это отдельная тулза. Технологии пока не внедрены в продукт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot

зачем мне читать форум? можете еще предложить отчет QA почитать или knowlege base с known bugs с таким же успехом. если непонятно о чем речь изначально была, то лучше промолчать дабы не продолжать цирк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Не сомневаюсь, но с этим тестом на лечение активного заражения тоже не все чисто:

как я уже тут отмечал антируткит VBA32 один из лучших, но их антивирус тест на лечение активного заражения проваливает. Тут же замечания мол он в антивирус пока не включен или ваше же замечание, что он есть, но надо знать как его включать. Вопрос, а вы его включали в тесте? Если нет, то вопрос, а какие были бы результаты, если бы вы его включили?

Если дело в том, что антивирусы использовались с настройками по умолчанию, то не включение этого модуля по умолчанию - серьезная оплошность компании, выпускающей антивирус.

Алексей, ок, постараюсь объяснить более понятно. Вижу, что вы не понимаете, что и как тестировалось и методологии явно тоже не читали.

Был проведен тест на лечение активного заражения, его результаты можно посмотреть по ссылку выше. Из этого теста видно, как тот или иной антивирус обнаруживает заражение сложными угрозами и устраняет их. В антивирус VBA32 антируткит не интегрирован, но он есть в составе дистрибутива. Если знать, то его можно запустить ручками. Естественно, что в тесте не лечение активного заражение этот антируткит не использовался, это противоречило его методологии.

Про оплошность компании не стоит говорить. Вы не знаете деталей, а дьявол как всегда спрятан именно в них. Во-первых, они все понимают, во-вторых они работают над интеграцией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов

Сергей, я вас прекрасно понял и спасибо, что пояснили по поводу его нахождения в дистрибутиве. Просто я сам не правильно выразился. Я имел ввиду, что не включая в состав антивируса антируткит, компания фактически оставляет работать с проникшими угрозами только сигнатурный метод. А на нем далеко не уедешь.

Я прекрасно понимаю, что компания "ВирусБлокАда" (так она кажется называется) пошла по пути тестирования отдельных элементов, а потом на их базе собирать новую версию антивируса.

Но вот вопрос правильно ли это?

А по поводу наличия этого модуля отдельно в дистрибутиве хочу сказать, конечно хорошо, что он есть, но так как он будет включаться только эпизодически, то это тоже плохо.

Хотя эта полемика к тесту антируткитов не имеет никакого отношения. И как сам ее начавший, считаю, что продолжать ее бессмысленно, хотя бы по тому, что способы развития продукта и комплектация его в состоянии "по умолчанию" - целиком на совести выпускающей компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
"ВирусБлокАда" (так она кажется называется)...

не включая в состав антивируса антируткит, компания фактически оставляет работать с проникшими угрозами только сигнатурный метод.

Алексей Скоробогатов

Вот подфорум этого производителя >>>

Там можно обратиться более конкретнее с данным предложением. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Идея проведения нового подобного теста обсуждается здесь http://www.anti-malware.ru/forum/index.php?showtopic=27842

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×