Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения I (подготовка)

Recommended Posts

Сергей Ильин

Есть идея уже давно провести тест антивирусов на лечение активного заражения. Очень много говорится про то, как не допустить заражения, тестируются разные проактивные технологии, детект и т.д., но заражения все равно происходят :-) Причем заражались хотя бы раз все пользователи.

Так что делать, когда беда пришла?

Что делать если штатный антивирус уже выведен из строя?

Какой продукт лучше справится с задачей восстановления работоспособности компьютера?

Собственно результаты теста смогут ответить на эти вопросы. В результате такого теста, на мой взгляд, мы можем выяснить следующее:

- способность того или иного антивируса устанавливаться на уже зараженный ранее компьютер;

- эффективность лечения уже зараженного компьютера;

- удаление последствий заражения (все, что выходит за рамки банального удаления тела вируса).

Хотелось бы перед тем, как что-то делать выработать методлогию теста и ответить на следующие вопросы:

Какие вирусы мы берем для теста?

(вероятно те, которые тяжело лечатся или активно противостоят лечению).

Какие антивирусы стоит тестировать?

(есть подозрение, что некоторые продукты даже не стоит в этот тест включать).

И самое важное: Как сравнивать результаты? Какие будут критерии оценки эффективности?

В перспективе было бы здорово провести такой тест на стенде - модели небольшой сети с несколькими машинами, чтобы посмотреть какие антвирусы лучше справляются с активными заражениями в масштабах корпоративных сетей.

Буду рад любым комментарием по будущему тесту.

Если есть желающие поучаствовать непосредственно в тесте, тоже пишите :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Включать стоит, думаю, если не всех, то большинство. Сразу станет видно, у кого есть драйвера, у кого нет... У кого есть самозащита, у кого нет... Победит-то, конечно, Каспер, особенно если успеет выйти первый пакет обновлений (после него можно будет KAV вообще не тестировать :D )

Критерии я лично вижу простые: сумеет ли антивирус установиться на зараженную машину, отразить атаки на себя и вычистить вирус. Условие, естественно, что антивирус должен вирус знать.

Самая простая схема могла бы быть из трех очков: очко за успешность установки, очко за самозащиту после нее и очко за успешное вычищение вируса. Это самое грубое. :)

Вирусы берем по следующим критериям, полагаю:

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

(все это, естественно, IMHO)

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

А как учесть неуловимого Джо?

Пользование очень популярными антивирусами небезопасно само по себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мысль ваша ясна, но формулировка неверна в корне :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Может быть.

Но я имею возможность выбора, в отличие от подавляющего большинства. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

ОК, давайте конкретизировать по вирусам.

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Главная задача - отобрать с десяток ITW образцов, с различными способами своей защиты от удаления и обнаружения. (должны детектиться всеми антивирусами до теста)

Далее просто устанавливается один образец на систему, перезагружаем ся, устанавливаем антивирь.

С атаками на антивирус проблематично, поскольку список процессов (ключей, файлов) принадлежащих антивирусным продуктам находится в теле вируса и в этом списке может не оказаться одного из тестируемых антивирусов.

в качестве примеров Itw может быть Haxdoor, Banker, Feebs, тот же Warezov, Look to me и т.д. ( руткиты, несколько процессов перезапускающие друг друга, переименования при перезагрузки, очистка списка отложенного удаления, золоченные и т.д)

Оценка: установился или нет, удалил или нет, почистил реестр или нет.

Добавлено спустя 30 минут 32 секунды:

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Можно взять и свежие и старые. Сильно старые не нужно, так как методика их защиты от удаления неактуальна. А то кто не успел докрутить функционал - тот опоздал Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Идея неплохая и оригинальная. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Почему??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы"

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось, может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. :)

Добавлено спустя 4 минуты 51 секунду:

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось,

О нет! усовершенстовано детектирование упакованных объектов в KAV/KIS (MP1), Dr. Web (недавно обновлен движок и добавлено детектирование новых пакеров), совершенствуется NOD32, VBA32 (вышел новый релиз, если мне не изменяет память) и т.д.

может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. Smile

Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Нужно проводить этот тест первым!!!

Почему?

Первое - он проще (не нужно искать пакеры последних версий да ещё крякнутые (если платный); не нужно паковать и проверять работоспособность)

Второе - не так много антивирусов новых версий появилось да и пакеры все теже восновном.

З.Ы. Vba новая не выходила, а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1 ( может быть в этом напрвлении ничего не поменяется).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Правильно, но речь идет вот об этом

К аспротекту есть распаковщики ко всем версиям, проблема в сигнатурах. Да, я признаю что проблема есть, и не может быть решена до выхода следующего движка. Но это будет уже скоро, так что мы не волнуемся =)

http://anti-malware.ru/phpbb/viewtopic.php...87&start=45

Понятно, что движок - в основном в базах, но все же, если я правильно понял поддержку новых упаковщиков добавят в выходом MP1. Не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А это никаким МП не исправят а будет это в 7.0 (2007 год)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Думаю начать данное тестирование необходимо с выбором десятка вирусов с различными способами защиты.

Пастить их мона сюда:

http://anti-malware.ru/phpbb/viewtopic.php...&highlight=

Надеюсь этот десяток на собирается быстро, что позволит раньше начать тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Это будет исключительно лабораторный тест.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Не успели провести тест, а Вы уже его критикуете. :)

Это будет исключительно лабораторный тест.

Ну и что? Разве лабораторные тесты не могут адекватно отражать истинное положение дел? Я лично против того, что бы опираться на стереотипы, по крайней мере в этом вопросе.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

С чего Вы взяли. Знаете давно заметил, что те кто критикует так называемые лабораторные тесты как правило не могут привести ни одного существенного аргумента в обосновании своих возражений.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

А зачем искать такой вирус? Не думаю, что тест целесообразно проводить на всех антивирусах.

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

А это вообще нужно делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Спасибо, Tix.

Я тоже.

Но я не об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Ну и что? Ну и я знаю, что будет с антивирусами! Но тест не о том, убъет вирус антивирус Ж)

Тест предполагается провести для проверки способности антивирусов удалить вредоносный код из системы ( в идеале еще и почистить после этого). Например известно, что многие современные антивирусы не могут удалить "золоченные" файлы! Т.е. они вообще не обнаруживают присутствия вируса в системе. ( хотя сам файл детектят). Тест проводится именно с этой целью.

З.Ы. В тесте предлагаю использовать вири с разным механизмом от удаления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Хороший вредоносный код автоматом не удаляет никто. :)

Если только персонально не заточить.

Да и то...

Не знаю, короче.

Не нажимайте лучше на exe (удивительная вещь, оказывается, в русской раскладке EXE=УЧУ) лишний раз. :D

Не вижу я пока реально жизненных методик.

И сам не могу придумать.

Только личный опыт. Всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Тут я пожалуй соглашусь с Dexter'ом, если с пакерами ещё реально проводить тесты, то в данном тесте нельзя сказать ничего..

то что он известного зловреда лечит, это ещё не факт что он что-то новое будет нормально лечить.. да и вообще по сути, то что он что-то лечит это показатель того, что антивирус уже что-то пропустил и это уже плохо..

вообщем слишком много НО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
      ESET Cyber Security был обновлён до версии 8.2.3000.
    • demkd
      Это можно. Хотя можно ведь просто нажать Enter.
    • PR55.RP55
      Да, но... ( как мне кажется ) Можно кнопку " Перезагрузить и запустить до запуска эксплорера " поместить после: Проверять весь HKCR ( больше файлов в списке ) на размер это не повлияет, а вот случайно ткнуть уже не выйдет.  
    • demkd
      тут увы, уже слишком много кнопок, а окошко должно помещаться в экран и при низком разрешении, а будут еще 2 кнопки.
    • PR55.RP55
      Demkd По поводу интеграции в Windows, бала такая программа ( до санкций ) Antisms   там имели место быть ряд полезных функций. В том числе и автоматические действия - ( блокировка файлов по ЭЦП ); Удаляются файлы autorun.inf в корне каждого логического диска и т.д. ------ По поводу меню:  Запустить под текущим пользователем и Перезагрузить и запустить до запуска эксплорера Кнопки находятся слишком близко - я уже несколько раз случайно жал не ту кнопу. Мало приятного.
×