Сергей Ильин

Тест антивирусов на лечение активного заражения I (подготовка)

В этой теме 124 сообщений

Есть идея уже давно провести тест антивирусов на лечение активного заражения. Очень много говорится про то, как не допустить заражения, тестируются разные проактивные технологии, детект и т.д., но заражения все равно происходят :-) Причем заражались хотя бы раз все пользователи.

Так что делать, когда беда пришла?

Что делать если штатный антивирус уже выведен из строя?

Какой продукт лучше справится с задачей восстановления работоспособности компьютера?

Собственно результаты теста смогут ответить на эти вопросы. В результате такого теста, на мой взгляд, мы можем выяснить следующее:

- способность того или иного антивируса устанавливаться на уже зараженный ранее компьютер;

- эффективность лечения уже зараженного компьютера;

- удаление последствий заражения (все, что выходит за рамки банального удаления тела вируса).

Хотелось бы перед тем, как что-то делать выработать методлогию теста и ответить на следующие вопросы:

Какие вирусы мы берем для теста?

(вероятно те, которые тяжело лечатся или активно противостоят лечению).

Какие антивирусы стоит тестировать?

(есть подозрение, что некоторые продукты даже не стоит в этот тест включать).

И самое важное: Как сравнивать результаты? Какие будут критерии оценки эффективности?

В перспективе было бы здорово провести такой тест на стенде - модели небольшой сети с несколькими машинами, чтобы посмотреть какие антвирусы лучше справляются с активными заражениями в масштабах корпоративных сетей.

Буду рад любым комментарием по будущему тесту.

Если есть желающие поучаствовать непосредственно в тесте, тоже пишите :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Включать стоит, думаю, если не всех, то большинство. Сразу станет видно, у кого есть драйвера, у кого нет... У кого есть самозащита, у кого нет... Победит-то, конечно, Каспер, особенно если успеет выйти первый пакет обновлений (после него можно будет KAV вообще не тестировать :D )

Критерии я лично вижу простые: сумеет ли антивирус установиться на зараженную машину, отразить атаки на себя и вычистить вирус. Условие, естественно, что антивирус должен вирус знать.

Самая простая схема могла бы быть из трех очков: очко за успешность установки, очко за самозащиту после нее и очко за успешное вычищение вируса. Это самое грубое. :)

Вирусы берем по следующим критериям, полагаю:

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

(все это, естественно, IMHO)

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

А как учесть неуловимого Джо?

Пользование очень популярными антивирусами небезопасно само по себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мысль ваша ясна, но формулировка неверна в корне :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Может быть.

Но я имею возможность выбора, в отличие от подавляющего большинства. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ОК, давайте конкретизировать по вирусам.

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Главная задача - отобрать с десяток ITW образцов, с различными способами своей защиты от удаления и обнаружения. (должны детектиться всеми антивирусами до теста)

Далее просто устанавливается один образец на систему, перезагружаем ся, устанавливаем антивирь.

С атаками на антивирус проблематично, поскольку список процессов (ключей, файлов) принадлежащих антивирусным продуктам находится в теле вируса и в этом списке может не оказаться одного из тестируемых антивирусов.

в качестве примеров Itw может быть Haxdoor, Banker, Feebs, тот же Warezov, Look to me и т.д. ( руткиты, несколько процессов перезапускающие друг друга, переименования при перезагрузки, очистка списка отложенного удаления, золоченные и т.д)

Оценка: установился или нет, удалил или нет, почистил реестр или нет.

Добавлено спустя 30 минут 32 секунды:

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Можно взять и свежие и старые. Сильно старые не нужно, так как методика их защиты от удаления неактуальна. А то кто не успел докрутить функционал - тот опоздал Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идея неплохая и оригинальная. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы"

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось, может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. :)

Добавлено спустя 4 минуты 51 секунду:

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось,

О нет! усовершенстовано детектирование упакованных объектов в KAV/KIS (MP1), Dr. Web (недавно обновлен движок и добавлено детектирование новых пакеров), совершенствуется NOD32, VBA32 (вышел новый релиз, если мне не изменяет память) и т.д.

может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. Smile

Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Нужно проводить этот тест первым!!!

Почему?

Первое - он проще (не нужно искать пакеры последних версий да ещё крякнутые (если платный); не нужно паковать и проверять работоспособность)

Второе - не так много антивирусов новых версий появилось да и пакеры все теже восновном.

З.Ы. Vba новая не выходила, а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1 ( может быть в этом напрвлении ничего не поменяется).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Правильно, но речь идет вот об этом

К аспротекту есть распаковщики ко всем версиям, проблема в сигнатурах. Да, я признаю что проблема есть, и не может быть решена до выхода следующего движка. Но это будет уже скоро, так что мы не волнуемся =)

http://anti-malware.ru/phpbb/viewtopic.php...87&start=45

Понятно, что движок - в основном в базах, но все же, если я правильно понял поддержку новых упаковщиков добавят в выходом MP1. Не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А это никаким МП не исправят а будет это в 7.0 (2007 год)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю начать данное тестирование необходимо с выбором десятка вирусов с различными способами защиты.

Пастить их мона сюда:

http://anti-malware.ru/phpbb/viewtopic.php...&highlight=

Надеюсь этот десяток на собирается быстро, что позволит раньше начать тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Это будет исключительно лабораторный тест.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Не успели провести тест, а Вы уже его критикуете. :)

Это будет исключительно лабораторный тест.

Ну и что? Разве лабораторные тесты не могут адекватно отражать истинное положение дел? Я лично против того, что бы опираться на стереотипы, по крайней мере в этом вопросе.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

С чего Вы взяли. Знаете давно заметил, что те кто критикует так называемые лабораторные тесты как правило не могут привести ни одного существенного аргумента в обосновании своих возражений.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

А зачем искать такой вирус? Не думаю, что тест целесообразно проводить на всех антивирусах.

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

А это вообще нужно делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Спасибо, Tix.

Я тоже.

Но я не об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну и что? Ну и я знаю, что будет с антивирусами! Но тест не о том, убъет вирус антивирус Ж)

Тест предполагается провести для проверки способности антивирусов удалить вредоносный код из системы ( в идеале еще и почистить после этого). Например известно, что многие современные антивирусы не могут удалить "золоченные" файлы! Т.е. они вообще не обнаруживают присутствия вируса в системе. ( хотя сам файл детектят). Тест проводится именно с этой целью.

З.Ы. В тесте предлагаю использовать вири с разным механизмом от удаления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хороший вредоносный код автоматом не удаляет никто. :)

Если только персонально не заточить.

Да и то...

Не знаю, короче.

Не нажимайте лучше на exe (удивительная вещь, оказывается, в русской раскладке EXE=УЧУ) лишний раз. :D

Не вижу я пока реально жизненных методик.

И сам не могу придумать.

Только личный опыт. Всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тут я пожалуй соглашусь с Dexter'ом, если с пакерами ещё реально проводить тесты, то в данном тесте нельзя сказать ничего..

то что он известного зловреда лечит, это ещё не факт что он что-то новое будет нормально лечить.. да и вообще по сути, то что он что-то лечит это показатель того, что антивирус уже что-то пропустил и это уже плохо..

вообщем слишком много НО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!
    • Viktorr
      Потому что для безопасности компьютеров, мало одних лишь антивирусов, нужно применять и другие способы защиты. В сети вообще-то немало данных по этой теме, к примеру вот здесь можете ознакомиться с подробной информацией, как проводить тестирование на проникновение, для обеспечения информационной безопасности  https://codeby.net/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/ . Там полностью на русском языке изложено, как проводить анализ уязвимостей в веб-приложениях, делать стресс-тесты сети и т.д. Так что внимательно изучите данную информацию, и делайте выводы, что нужно предпринять, чтобы надежно защитить свой компьютер.
    • demkd
      А причем тут разрабы, формат известен, проблема во времени необходимом на интеграцию sql в uVS и само совместимостью такого комбайна с PE, со временем вопрос решится буду смотреть.
    • PR55.RP55
      + Donkey CORP
      technologierutherford.com
      PC Accelerate Sales Inc
      technologieboussac.com
      RS INTERNET PAZARLAMA A S