Тест самозащиты антивирусов III (подготовка)

[Maratka 30]

Не раньше сентября, насколько я знаю.

Релиз вышел и доступен. Не нашел правда как скачать полный дистрибутив,но загрузчик уже есть.

[Rampant 220]

Релиз вышел и доступен. Не нашел правда как скачать полный дистрибутив,но загрузчик уже есть.

здесь http://download.bitdefender.com/windows/desktop/

[Danilka 678]

Ку ку:

http://www.anti-malware.ru/forum/index.php...st&p=111097

[Danilka 678]

Ну что, как обстоят дела с тестированием?

[Сергей Ильин 1538]

Ну что, как обстоят дела с тестированием?

Тестирование на Windows XP и Windows 7 x86 завершено полностью за исключением Sophos, которого будет лучше исключить из таких тестов. Во-первых клиентский дистрибутив отдельно уже не распространяется у них, во-вторых там несколько иная система самозащиты (основанная на разграничении прав юзеров).

На Windows 7 x64 тестирование еще ведется. И мы решили выложить результаты по этой ОС отдельной экспериментальной статьей для первого раза, так будет правильнее.

Текущие результаты радуют - к делу самозащиты подтянулись самые отсталые вендорские слои

[Danilka 678]

Спасибо. Будем ждать.

[Сергей Ильин 1538]

Начинаем выкладывать результаты. Можно уже ознакомиться с методологией http://www.anti-malware.ru/node/2920

Система награждения остается прежней http://www.anti-malware.ru/node/154

В этот раз много золота

[spw 190]

Начинаем выкладывать результаты. Можно уже ознакомиться с методологией http://www.anti-malware.ru/node/2920

Система награждения остается прежней http://www.anti-malware.ru/node/154

В этот раз много золота

Комментирую. Кто предложил вот это?

API с уровня ядра:

1. ZwTerminateProcess;

2. ZwTerminateThread.

Тот, кто это предложил, либо сделал это сознательно (полностью понимая глупость этого), либо совершенно некомпетентен (и тогда глупость несознательная).

Есть вот тесты от ряда компаний, которые делают "заточки" на какие-то такие вещи с защитой от действий в ядре. При этом, оставаясь на том же самом уровне -- в том же ядре, без виртуализаций каких-либо.

Так вот, тому, кто хоть что-то понимает в системном программировании, очевидно, что защита драйвера от драйвера бессмысленна.

Можно дописать сюда третий тест: зануление памяти драйвера антивируса.

И чего? Как от этого защищаться будете?

Я понимаю, когда подобные тесты выкатывают какие-нибудь идиотики с WildersSecurity в тестах для HIPS. "Ооо!! Нет защиты от убийства процесса из ядра". Но здесь-то хоть один эксперт-то должен был высказаться по этому поводу?

Как это прошло вообще?

[Илья Рабинович 521]

Спокойно. Я говорил про бессмысленность теста на завершение из ядра. Правда, мметодологии составлял не я, так что дальнейшее от меня не зависит.

[Сергей Ильин 1538]

Комментирую. Кто предложил вот это?

Мы оставили эти два метода сознательно с одной только целью - обеспечить сравнимость результатов с прошлым тестом. В том, что это ничего не показывает было потятно.

Никто же не мешает не учитывать эти пару столбцов? На конечный расклад результатов почти не влияет.

Поэтому я бы предложил оставить API с уровня ядра чисто из позновательных целей (для валидного сравнения результатов в динамике Y2Y).

[spw 190]

Мы оставили эти два метода сознательно с одной только целью - обеспечить сравнимость результатов с прошлым тестом. В том, что это ничего не показывает было потятно.

Никто же не мешает не учитывать эти пару столбцов? На конечный расклад результатов почти не влияет.

"было понятно" - кому? Паре человек? Попробуйте объяснить это хотя бы постоянной аудитории форума AM. Особенно, если какая-нибудь Avira будет "успешно защищаться" от этого, а что-то другое - игнорировать глупость.

[Kopeicev 94]

"было понятно" - кому? Паре человек? Попробуйте объяснить это хотя бы постоянной аудитории форума AM. Особенно, если какая-нибудь Avira будет успешно "защищаться" от этого, а что-то другое - игнорировать глупость.

Ну вот, вы сами пишите что например Avira сможет защищаться от этого, а кто то другой нет т.к. вот в тесте и показано только и всего что кто то умеет, а кто то нет.

[Сергей Ильин 1538]

"было понятно" - кому? Паре человек? Попробуйте объяснить это хотя бы постоянной аудитории форума AM. Особенно, если какая-нибудь Avira будет "успешно защищаться" от этого, а что-то другое - игнорировать глупость. smile.gif

Я предлагаю написать на эту тему в отчете четкий коммент, чтобы сейчас уже не править результаты.

[sww 486]

Ну вот, вы сами пишите что например Avira сможет защищаться от этого, а кто то другой нет т.к. вот в тесте и показано только и всего что кто то умеет, а кто то нет.

Ну, тут не совсем так. С точки зрения разработки - почему бы и не сделать, с точки зрения логики - от ядра защита бесполезна.

То есть, продукт не защищает т.к. это бесполезно, или потому что не сделали (ибо бесполезно .

[spw 190]

Ну вот, вы сами пишите что например Avira сможет защищаться от этого, а кто то другой нет т.к. вот в тесте и показано только и всего что кто то умеет, а кто то нет.

Ну вот, похоже уже подтянулись...

К сожалению, мне лень сейчас искать картинку про Windows Firewall на XP. Опишу словами -- это была такая кирпичная стена, в голом поле (обходи с любой стороны). Вот такой же вид имеет защита в ядре от использования этих функций стандартного API ядра.

Ну, тут не совсем так. С точки зрения разработки - почему бы и не сделать, с точки зрения логики - от ядра защита бесполезна.

То есть, продукт не защищает т.к. это бесполезно, или потому что не сделали (ибо бесполезно .

"С точки зрения разработки" можно и тетрис или сокобан в ядре написать. Который в качестве блоков - будет использовать логические сектора volume'а.

[Z.E.A. 190]

Norton Internet Security 2010 (17.5.0.127)

Почему не 17.7.0.12 ?

Это на 2 индекса ниже, чем доступная на данный момент версия.

[sww 486]

Почему не 17.7.0.32 ?

Это на 2 индекса ниже, чем доступная на данный момент версия.

Для тех, кто на бронетанке. Уже 100 тыщ 500 миллионов раз говорили: "доступные версии на момент начала тестирования".

2Администрация: давайте все-таки добавим в каждую методологию это предложение. Надпись сделать в ворде, там есть супер штука - вордарт, причем буковки должны быть разноцветные и 72 кегля. Достали уже.

[Z.E.A. 190]

Для тех, кто на бронетанке. Уже 100 тыщ 500 миллионов раз говорили: "доступные версии на момент начала тестирования".

Я спросил не просто так.

http://www.anti-malware.ru/forum/index.php...st&p=109896

Дата поста - 30 июля. Соответственно, можно считать, что тест начался тогда.

И вот дата релиза патчей:

Norton Internet Security 2010 / Norton AntiVirus 2010 – NEW UPDATE 17.7.0.12 - Updated May 20th(special for sww), 2010

[sww 486]

И вот дата релиза патчей:

Я точно не на бронетанке, можно и не выделять. Возможно, что и вы не на бронетанке. Интересно было бы узнать, а почему действительно версия не та?

[Сергей Ильин 1538]

И вот дата релиза патчей:

Уточниим. Кстати, вы уверены, что эти патчи были выложены для закачки именно тогда и для всех стран? Вы же понимаете на что я намекаю, что мы выкачиваем дистрибутивы прямо перед тестом с официальных серверов, что там лежит (и как оно потом обновляется), так и используем.

[Z.E.A. 190]

Уточниим. Кстати, вы уверены, что эти патчи были выложены для закачки именно тогда и для всех стран? Вы же понимаете на что я намекаю, что мы выкачиваем дистрибутивы прямо перед тестом с официальных серверов, что там лежит (и как оно потом обновляется), так и используем.

Версия 17.7 распространяется только апдейтом.

Т.е. доступная версия является именно 17.6. Даже и не 17.5 .

Доступны для всех они были уж точно, на 30 июля.

Я точно не на бронетанке, можно и не выделять.

Ну ок.

Извиняюсь.

[Сергей Ильин 1538]

Z.E.A., проверили. Дело в том, что записали у данного продукта билд до обновления. Подняли виртуалку, все ОК - 17.7.0.12

Так что благодарю за корректировку!

[Z.E.A. 190]

Z.E.A., проверили. Дело в том, что записали у данного продукта билд до обновления. Подняли виртуалку, все ОК - 17.7.0.12

Так что благодарю за корректировку!

Рад, что всё решилось.

[sww 486]

Рад, что всё решилось.

Сори, точно не на бронетанке.

P.S. Но в методологии я прошу дописать вышеуказанное предложение.

[Сергей Ильин 1538]

P.S. Но в методологии я прошу дописать вышеуказанное предложение.

Сделаем. Это важно.