Сергей Ильин

Тест антивирусов на лечение активного заражения I (подготовка)

В этой теме 124 сообщений

Есть идея уже давно провести тест антивирусов на лечение активного заражения. Очень много говорится про то, как не допустить заражения, тестируются разные проактивные технологии, детект и т.д., но заражения все равно происходят :-) Причем заражались хотя бы раз все пользователи.

Так что делать, когда беда пришла?

Что делать если штатный антивирус уже выведен из строя?

Какой продукт лучше справится с задачей восстановления работоспособности компьютера?

Собственно результаты теста смогут ответить на эти вопросы. В результате такого теста, на мой взгляд, мы можем выяснить следующее:

- способность того или иного антивируса устанавливаться на уже зараженный ранее компьютер;

- эффективность лечения уже зараженного компьютера;

- удаление последствий заражения (все, что выходит за рамки банального удаления тела вируса).

Хотелось бы перед тем, как что-то делать выработать методлогию теста и ответить на следующие вопросы:

Какие вирусы мы берем для теста?

(вероятно те, которые тяжело лечатся или активно противостоят лечению).

Какие антивирусы стоит тестировать?

(есть подозрение, что некоторые продукты даже не стоит в этот тест включать).

И самое важное: Как сравнивать результаты? Какие будут критерии оценки эффективности?

В перспективе было бы здорово провести такой тест на стенде - модели небольшой сети с несколькими машинами, чтобы посмотреть какие антвирусы лучше справляются с активными заражениями в масштабах корпоративных сетей.

Буду рад любым комментарием по будущему тесту.

Если есть желающие поучаствовать непосредственно в тесте, тоже пишите :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Включать стоит, думаю, если не всех, то большинство. Сразу станет видно, у кого есть драйвера, у кого нет... У кого есть самозащита, у кого нет... Победит-то, конечно, Каспер, особенно если успеет выйти первый пакет обновлений (после него можно будет KAV вообще не тестировать :D )

Критерии я лично вижу простые: сумеет ли антивирус установиться на зараженную машину, отразить атаки на себя и вычистить вирус. Условие, естественно, что антивирус должен вирус знать.

Самая простая схема могла бы быть из трех очков: очко за успешность установки, очко за самозащиту после нее и очко за успешное вычищение вируса. Это самое грубое. :)

Вирусы берем по следующим критериям, полагаю:

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

(все это, естественно, IMHO)

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

А как учесть неуловимого Джо?

Пользование очень популярными антивирусами небезопасно само по себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мысль ваша ясна, но формулировка неверна в корне :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Может быть.

Но я имею возможность выбора, в отличие от подавляющего большинства. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ОК, давайте конкретизировать по вирусам.

-способность мешать установке антивируса

-способность повреждать его файлы, выгружать процессы, останавливать службы

-способность самовосстанавливаться в случае, если не все файлы удалены

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Главная задача - отобрать с десяток ITW образцов, с различными способами своей защиты от удаления и обнаружения. (должны детектиться всеми антивирусами до теста)

Далее просто устанавливается один образец на систему, перезагружаем ся, устанавливаем антивирь.

С атаками на антивирус проблематично, поскольку список процессов (ключей, файлов) принадлежащих антивирусным продуктам находится в теле вируса и в этом списке может не оказаться одного из тестируемых антивирусов.

в качестве примеров Itw может быть Haxdoor, Banker, Feebs, тот же Warezov, Look to me и т.д. ( руткиты, несколько процессов перезапускающие друг друга, переименования при перезагрузки, очистка списка отложенного удаления, золоченные и т.д)

Оценка: установился или нет, удалил или нет, почистил реестр или нет.

Добавлено спустя 30 минут 32 секунды:

Согласен. А как быть со сроками их появления?

Можно взять совсем свежие, тот же Warezov? Или лучше взять старые добрые, какие-нибудь Klez или Nimda?

Понятно, что результаты будут разные, но если взять совсем свежие, то кто-то я думаю будет потом упрекать, что мол не успели функционал в своих продуктах докрутить.

Можно взять и свежие и старые. Сильно старые не нужно, так как методика их защиты от удаления неактуальна. А то кто не успел докрутить функционал - тот опоздал Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идея неплохая и оригинальная. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
. Предлагаю провесси тест "лечение активного заражения" после проведения теста на "упакованные вирусы"

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось, может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. :)

Добавлено спустя 4 минуты 51 секунду:

Вы имеет в виду второй по счету тест на упакованные вирусы?

Мы его планировали на конец года, но боюсь за это время мало что поменялось,

О нет! усовершенстовано детектирование упакованных объектов в KAV/KIS (MP1), Dr. Web (недавно обновлен движок и добавлено детектирование новых пакеров), совершенствуется NOD32, VBA32 (вышел новый релиз, если мне не изменяет память) и т.д.

может быть имеет смысл сделать его где-то в январе-феврале 2007 года. А раньше провести этот тест.

Может быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень интересно узнать насколько усовершенствовано детектирование упакованных вредоносных объектов. Тем более его провести несложно с учетом имеющегося опыта. А к принципиально новому тесту нужно тщательно готовится. Smile

Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, посмотреть на изменения будет действительно очень интересно.

Потом, действительно, новый тест потребует гораздо больших ресурсов на подготовку. Но в любом случае нам ничего не мешает начать прорабатывать методологию теста на лечение активного заражения уже сейчас. :)

И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И новый тест интересен. Можно в принципе наччать с него. Предлагаю высказаться по вопросу очередности проведения тестов! :)

Нужно проводить этот тест первым!!!

Почему?

Первое - он проще (не нужно искать пакеры последних версий да ещё крякнутые (если платный); не нужно паковать и проверять работоспособность)

Второе - не так много антивирусов новых версий появилось да и пакеры все теже восновном.

З.Ы. Vba новая не выходила, а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1 ( может быть в этом напрвлении ничего не поменяется).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
>а МП1 Каспера не факт, что ещё в течении 10 дней выйдет. Надо у Dr.Golova поинтересоваться, какие анпакеры добавяться в МП1

Забудте эту мысль, у кава поддержка пакеров независит от версии АВ а только от актуальности баз Ж)

Правильно, но речь идет вот об этом

К аспротекту есть распаковщики ко всем версиям, проблема в сигнатурах. Да, я признаю что проблема есть, и не может быть решена до выхода следующего движка. Но это будет уже скоро, так что мы не волнуемся =)

http://anti-malware.ru/phpbb/viewtopic.php...87&start=45

Понятно, что движок - в основном в базах, но все же, если я правильно понял поддержку новых упаковщиков добавят в выходом MP1. Не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А это никаким МП не исправят а будет это в 7.0 (2007 год)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю начать данное тестирование необходимо с выбором десятка вирусов с различными способами защиты.

Пастить их мона сюда:

http://anti-malware.ru/phpbb/viewtopic.php...&highlight=

Надеюсь этот десяток на собирается быстро, что позволит раньше начать тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Это будет исключительно лабораторный тест.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ребят, не будет такой тест адекватным, по сути своей, так же как и различные греческо-немецкие тесты.

Не успели провести тест, а Вы уже его критикуете. :)

Это будет исключительно лабораторный тест.

Ну и что? Разве лабораторные тесты не могут адекватно отражать истинное положение дел? Я лично против того, что бы опираться на стереотипы, по крайней мере в этом вопросе.

Но разница и сходство есть.

Если всякие греко-немцы берут древние, забытые всеми крапы, то в данном случае невозможно учесть множество факторов, которые существуют на данный момент времени, и которые формируют "дикость" зловредов.

С чего Вы взяли. Знаете давно заметил, что те кто критикует так называемые лабораторные тесты как правило не могут привести ни одного существенного аргумента в обосновании своих возражений.

Где вы найдёте кренделя, который выгружает, любой

антивирус?

А зачем искать такой вирус? Не думаю, что тест целесообразно проводить на всех антивирусах.

Как можно оценить устойчивость антивируса если он широко не распространен?

Не знаю, может ещё кто-нибудь добавит вопросы?

А это вообще нужно делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я могу без всяких тестов сказать что будет с основными анти-вирусами

nod32, symantec, drweb, kav, mcafee и еще некоторых

Спасибо, Tix.

Я тоже.

Но я не об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну и что? Ну и я знаю, что будет с антивирусами! Но тест не о том, убъет вирус антивирус Ж)

Тест предполагается провести для проверки способности антивирусов удалить вредоносный код из системы ( в идеале еще и почистить после этого). Например известно, что многие современные антивирусы не могут удалить "золоченные" файлы! Т.е. они вообще не обнаруживают присутствия вируса в системе. ( хотя сам файл детектят). Тест проводится именно с этой целью.

З.Ы. В тесте предлагаю использовать вири с разным механизмом от удаления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хороший вредоносный код автоматом не удаляет никто. :)

Если только персонально не заточить.

Да и то...

Не знаю, короче.

Не нажимайте лучше на exe (удивительная вещь, оказывается, в русской раскладке EXE=УЧУ) лишний раз. :D

Не вижу я пока реально жизненных методик.

И сам не могу придумать.

Только личный опыт. Всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тут я пожалуй соглашусь с Dexter'ом, если с пакерами ещё реально проводить тесты, то в данном тесте нельзя сказать ничего..

то что он известного зловреда лечит, это ещё не факт что он что-то новое будет нормально лечить.. да и вообще по сути, то что он что-то лечит это показатель того, что антивирус уже что-то пропустил и это уже плохо..

вообщем слишком много НО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...