Оффтопик из темы "тест самозащиты антивирусов III". - Свободное общение - Форумы Anti-Malware.ru Перейти к содержанию
strat

Оффтопик из темы "тест самозащиты антивирусов III".

Recommended Posts

strat

последний журнал хакер, тест самозащиты кристал и веб, кристал выглядит не лучшим образом.

сюда не прикрепляется, потому ссылка http://slil.ru/29545040

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
последний журнал хакер, тест самозащиты кристал и веб, кристал выглядит не лучшим образом.

сюда не прикрепляется, потому ссылка http://slil.ru/29545040

CRYSTAL - на основе KIS 2010. Те косяки в самозащите, что есть в 2010 имеются и в CRYSTAL. Уже как KIS 2011 на дворе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Я бы не стал воспринимать этот опус в Хакере от товарища кулхацкера deonisa как серьезное исследование))) Без слез умиления не читается. Если интересны деинсталяции др.веб и программное отключение его самозащиты легальными методами поищите на кряклаб топик)))

А так.. любой продукт без HIPS выносится на ура, особого смысла такие вещи тестировать нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
кристал выглядит не лучшим образом.
Тест №1

Удалять будем именно этот файл, который по умолчанию лежит в папке «%programfiles%\Kaspersky Lab\Kaspersky CRYSTAL\». Запускаем утилиту, передав ей в качестве одного из параметров полное имя экзешника и ... Кристал начал ругаться на нашу тестовую утилиту, определив ее рейтинг опасности как «высокий». Если бы это был реальный зловред, то пользователю пришлось бы решать, разрешить подозрительной программе выполниться или нет. Если все-таки дать свободу нашей утилите, то после ребута системы антивирус не запускается. Программа сделала свое дело и удалила главный бинарник Касперского. В случае запрета выполнения подозрительной тулзы все будет хорошо - avp.exe останется на своем месте и по-прежнему будет радовать пользователей красивой иконкой в трее. Итак, Kaspersky CRYSTAL прошел первое испытание, но, к сожалению, всего лишь на троечку. Очень часто пользователи жмут на кнопку «Да» не читая, что там пишут.

ТЕСТ №2

Второй краш-тест очень похож на первый, но с одним единственным отличием - путь к удаляемому файлу мы передаем в зашифрованном виде. Процедура шифрования тоже не совсем простая. Мы используем специальный трюк, чтобы обмануть эвристики наших антивирусов. Подробнее об этом можно почитать во врезке. А пока посмотрим, как справятся с этим испытанием Касперский и Доктор Веб. Первый в очереди - Kaspersky CRYSTAL. Предварительно зашифровав путь к avp.exe. мы передаем его нашей утилите. Реакция Кристала на второй тест полностью совпадаете реакцией на первый. Антивирус предложил выбрать, что делать с подозрительной программой. В случае, если мы разрешаем ее выполнение, после перезагрузки Kaspersky не загрузится. Итог: второе испытание Каспер тоже проходит на тройку. Ситуация с Dr.Web полностью идентична предыдущей. Все попытки удалить какие-либо файлы, требуемые для его работы, потерпели неудачу. Не удалялся даже банальный license.txt! За такую стойкость Доктор Веб получает пять.

чувствуете? бредятиной наносит! :lol:

т.е. если программа предоставляет выбор пользователю - это зло! :wacko:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
CRYSTAL - на основе KIS 2010

это известно, речь о том что возможно самозащиту можно протестить и другими методами а уж какая самозащита в 2011 никому неизвестно

т.е. если программа предоставляет выбор пользователю - это зло!

по крайней мере относительно себя кис должен рубить такие вещи без вопросов, или вы думаете есть легальная утилита которой может потребоваться удаление avp кроме родного ремувера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
любой продукт без HIPS выносится на ура

Для защиты хипса - прикльная весч, просто многим не по зубам ее настроить:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
а уж какая самозащита в 2011 никому неизвестно

Почему? Дистрибутивы есть на официальном сайте, правда пока только на .com (в России продажи ещё не идут) можно скачать и посмотреть. + я думаю в тесте которому посвящён этот топик будет именно 2011, а не 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

ответ не на моё высказывание, повторю, какая самозащита в 2011 неизвестно никому т.к. тестов не было, ссылка на статью была дана для тех кто собирается провести новый тест, вдруг что-то новое нашли бы для теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ну как тут проведут, так и узнаем. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×