Перейти к содержанию
Сергей Ильин

Тест антируткитов II (результаты)

Recommended Posts

Fixxxer®
Я уже отвечал на этот вопрос. На момент начала теста темы с тестированием утилиты не было. А DiabloNova тут при том, что он автор антируткита и в его блоге на тот момент (начало тестирования) была размещена последняя версия.

12332010.th.jpg

Ссылка на обсуждение RkU от автора (с регулярно выпускаемыми бета-версиями).

Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит, было бы интересно увидеть и результаты от последней беты (за сегодняшнее число, она в ветке, которую я указал).

Спасибо за ответы на вопросы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит, было бы интересно увидеть и результаты от последней беты (за сегодняшнее число, она в ветке, которую я указал).

Результаты не будут обновляться. Я посмотрю совсем новую версию Xuetr на текущих минусах (буткит, max++, z00clicker)+проверю возможность копирования TDL3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Раз уж исследование будет обновлено с актуальными версиями некоторых других утилит

Тест сделан и опубликован, ничего обновляться уже не будет, таков закон жанра. Мы лишь можем из интереса посмотреть, как там новая версия Xuetr, докрутили что-то или нет, чтобы удовлетворить поклонников этого антируткита. Хотя я лично думаю, что не будет никакой существенной разницы в результатах - серебро оно и есть серебро, до золота надо 2 балла еще, а это 4 плюса в таблице ;)

На русский сайт не стоит ориентироваться, а про версию 1.2.021 я Сергею говорил.

Так и качали ее с сайта, а там лежит старая :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®
Тест сделан и опубликован, ничего обновляться уже не будет, таков закон жанра. Мы лишь можем из интереса посмотреть, как там новая версия Xuetr, докрутили что-то или нет, чтобы удовлетворить поклонников этого антируткита. Хотя я лично думаю, что не будет никакой существенной разницы в результатах - серебро оно и есть серебро, до золота надо 2 балла еще, а это 4 плюса в таблице ;)

Да дело не в серебре и золоте, а в понимании, когда и какой утилитой следует пользоваться. Если признаться честно, для меня наибольшую ценность в исследовании представил файл в формате Excel, а не медали и всеобщее признание.

Ладно, и на том спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Так и качали ее с сайта, а там лежит старая

Здесь новая была и есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

С новым Xuetr ничего не поменялось, при max++ видит только заинжекченную dll (старый тоже видел), драйвер нет- поэтому резонно остается "-".

На TDL3 и z00clicker есть лишь SuspiciousDriverObject и ничего более и то мы один раз ему засчитали это за детект (при tdl3) и поставили "+", хотя зря.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Да какая разница, бета-релиз, результаты уже не соответствуют действительности потому что утилиты обновились с исправлениями и повышением детекта, а демо rrepeal 2 видит все тдл3 :) Из всего теста для меня наибольший интерес представляет руткит на котором был бсод, а медали, места и премии мне как-то все равны:) Раз пошла тогда такая пьянка могли бы взять и оригинальный TDL3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Из всего теста для меня наибольший интерес представляет руткит на котором был бсод

Спасибо за фикс, все работает как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

Всё таки жаль, что не протестировали RegRun Partizan. Может хоть вне конкурса проверите, насколько он боеспособен? Меня выручал пару раз, когда антивирусы ничего не находили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

И ещё, может добавить в итоги процент обнаружения руткитов для каждой программы? Потому что предупреждён, значит вооружен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
И ещё, может добавить в итоги процент обнаружения руткитов для каждой программы

Так есть там проценты - Таблица 5: Лучшие антируткиты по результатам теста

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

В этой таблице те же баллы, но в процентах. Я же имел ввиду альтернативную разбивку, например:

GMER detect 100% removal 75%

это будет наиболее наглядно и объективно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Молодцы VBA. Никогда не юзал их антируткит, но сейчас начну. Еще бы в антивирус его вкрутить и будет супер

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В этой таблице те же баллы, но в процентах. Я же имел ввиду альтернативную разбивку, например:

GMER detect 100% removal 75%

Так не получится сделать потому, что есть исключения - буткит и 4 малвары заражающие драйвера. Для буткита давалось 0.5 балла за восстановление, допустим это как-то тянет не лечение, но для Max++, Virus.Protector, TDL3 и z00clicker давалось по 0.5 балла за возможность скопировать реальное содержимое системного драйвера для анализа, это не лечение. Поэтому не стоит вводить в заблуждение читателей лишними обобщениями.

http://www.anti-malware.ru/node/2417

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Из всего теста для меня наибольший интерес представляет руткит на котором был бсод, а медали, места и премии мне как-то все равны:)

Если интересуют и потенциальные бсоды, то рекомендую проверить процедуру поиска PspCidTable - в случае ненахождения соответствующих байтиков произойдет разыменовывание первого дворда PsLookupProcessByProcessId.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

А да, есть такое дело :) Спасибо, это будет исправлено в SR2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Так не получится сделать потому, что есть исключения - буткит и 4 малвары заражающие драйвера.

процент детекта-то почему нельзя подсчитать? если программа не смогла найти в зараженной системе ничего подозрительного, то грош ей цена и никакой награды

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
А да, есть такое дело :) Спасибо, это будет исправлено в SR2.

Пожалуйста :) Также небезопасны установщики хуков: если кто-нибудь захочет, то сможет легко спровоцировать бсод после того, как рку перехучит функции.

А вот насчет будущих усовершенствований - имхо хорошо бы исправить такие архитектурные недостатки:

1. Отсутствие информации о неопознанных изменениях в коде. Т.е. если рку не смог правильно проанализировать перехват (а это более чем возможно), то он ничего не скажет о нем.

2. Поиск хуков строго в изменившемся буфере. Это позволяет подменять адреса, являющиеся частью инструкций, или "резать" на два буфера новую инструкцию с помощью байта, совпадающего с прежним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

Vba32 AntiRootkit - бесплатный продукт. Текущий релиз 3.12.4.0 можно скачать здесь: http://anti-virus.by/en/vba32arkit.shtml Но он, конечно, слабенький совсем.
здесь можно скачать демо-версию. Мне кажется, у слов "бесплатно" и "демо" есть различия. Или русскоязычной версии это не касается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Мне кажется, у слов "бесплатно" и "демо" есть различия. Или русскоязычной версии это не касается?

Антируткит бесплатный. Его обсуждение ведется в этой теме

http://www.anti-malware.ru/forum/index.php?showtopic=7367

Там же можно задать вопросы разработчикам ВирусБлокАды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

Подсчитал проценты обнаружения самостоятельно:

GMER 100%

VBA32 92%

RootRepeal 75%

XueTr 75%

Rootkit Unhooker 75%

Sophos 75%

OSAM 67%

SysReveal 67%

KernelDetective 67%

Eset SysInspector 42%

Trend Micro 42%

Panda 17%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов

У меня вопрос как обычного пользователя:

как можно оценить качество антируткит технологий Касперского. Каждый день утром после обновления он проводит поиск руткитов на машине. На сколько качествен его модуль? как это можно оценить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
как можно оценить качество антируткит технологий Касперского.

По результатам тестов на лечение активного заражения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алексей Скоробогатов

тогда не понятен провал VBA32 Antivirus. Их антируткит один из лучших, а антивирус тест на лечение активного заражения просто провалил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • LightParticle
      https://www.anti-malware.ru/compare/free-antivirus-2017  Судя по этой статьей больше всех Плюсов у Avast Free Antivirus. Проблема в том, что там функционал рассматривается, а не его качество.
    • Quincy
      Недавно узнал от близкой подруги, что некогда моя бывшая девушка будет рожать от своего нынешнего мужа. И она призналась моей подруге, что хочет назвать своего сына в честь одного из её бывших парней. В честь меня - Сергей , потом у неё был Стас, тоже из нашей компании, потом ещё какой-то Олег. Мужу, само собой, она об этом не говорит, что в честь кого-то из нас. Как вы считаете, будет это предательством по отношению к мужу?
    • kristina
      Привет! Интересует вопрос подсчета реального траффика для сайта - кто может порекоммендовать хороший и недорогой инструмент? Нужно посчитать реальный трафик сайта казино https://www.lovevulkan.ru/
    • 6Gleb6
      Да, не на большой и не большую сумму денег. Хотя, есть варианты с беспроцентным займом, как вот здесь https://zaymon.com.ua/ много компаний предлагают. Сам правда не брал, но скорее всего все должно быть честно. Суммы там небольшие, а конкуренция сейчас между МФО огромная. Вот и дают первый займ под 0% чтобы завлечь клиентов.
    • demkd
      Пришлось таки выпустить новую версию, заодно пополнил main. ---------------------------------------------------------  4.1.3
      ---------------------------------------------------------
       o Исправлен модуль startf, он не мог правильно определять версию Windows 10.  
×