Перейти к содержанию
strat

Оффтопик из темы "тест самозащиты антивирусов III".

Recommended Posts

strat

последний журнал хакер, тест самозащиты кристал и веб, кристал выглядит не лучшим образом.

сюда не прикрепляется, потому ссылка http://slil.ru/29545040

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
последний журнал хакер, тест самозащиты кристал и веб, кристал выглядит не лучшим образом.

сюда не прикрепляется, потому ссылка http://slil.ru/29545040

CRYSTAL - на основе KIS 2010. Те косяки в самозащите, что есть в 2010 имеются и в CRYSTAL. Уже как KIS 2011 на дворе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DiabloNova

Я бы не стал воспринимать этот опус в Хакере от товарища кулхацкера deonisa как серьезное исследование))) Без слез умиления не читается. Если интересны деинсталяции др.веб и программное отключение его самозащиты легальными методами поищите на кряклаб топик)))

А так.. любой продукт без HIPS выносится на ура, особого смысла такие вещи тестировать нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
кристал выглядит не лучшим образом.
Тест №1

Удалять будем именно этот файл, который по умолчанию лежит в папке «%programfiles%\Kaspersky Lab\Kaspersky CRYSTAL\». Запускаем утилиту, передав ей в качестве одного из параметров полное имя экзешника и ... Кристал начал ругаться на нашу тестовую утилиту, определив ее рейтинг опасности как «высокий». Если бы это был реальный зловред, то пользователю пришлось бы решать, разрешить подозрительной программе выполниться или нет. Если все-таки дать свободу нашей утилите, то после ребута системы антивирус не запускается. Программа сделала свое дело и удалила главный бинарник Касперского. В случае запрета выполнения подозрительной тулзы все будет хорошо - avp.exe останется на своем месте и по-прежнему будет радовать пользователей красивой иконкой в трее. Итак, Kaspersky CRYSTAL прошел первое испытание, но, к сожалению, всего лишь на троечку. Очень часто пользователи жмут на кнопку «Да» не читая, что там пишут.

ТЕСТ №2

Второй краш-тест очень похож на первый, но с одним единственным отличием - путь к удаляемому файлу мы передаем в зашифрованном виде. Процедура шифрования тоже не совсем простая. Мы используем специальный трюк, чтобы обмануть эвристики наших антивирусов. Подробнее об этом можно почитать во врезке. А пока посмотрим, как справятся с этим испытанием Касперский и Доктор Веб. Первый в очереди - Kaspersky CRYSTAL. Предварительно зашифровав путь к avp.exe. мы передаем его нашей утилите. Реакция Кристала на второй тест полностью совпадаете реакцией на первый. Антивирус предложил выбрать, что делать с подозрительной программой. В случае, если мы разрешаем ее выполнение, после перезагрузки Kaspersky не загрузится. Итог: второе испытание Каспер тоже проходит на тройку. Ситуация с Dr.Web полностью идентична предыдущей. Все попытки удалить какие-либо файлы, требуемые для его работы, потерпели неудачу. Не удалялся даже банальный license.txt! За такую стойкость Доктор Веб получает пять.

чувствуете? бредятиной наносит! :lol:

т.е. если программа предоставляет выбор пользователю - это зло! :wacko:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
CRYSTAL - на основе KIS 2010

это известно, речь о том что возможно самозащиту можно протестить и другими методами а уж какая самозащита в 2011 никому неизвестно

т.е. если программа предоставляет выбор пользователю - это зло!

по крайней мере относительно себя кис должен рубить такие вещи без вопросов, или вы думаете есть легальная утилита которой может потребоваться удаление avp кроме родного ремувера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
любой продукт без HIPS выносится на ура

Для защиты хипса - прикльная весч, просто многим не по зубам ее настроить:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
а уж какая самозащита в 2011 никому неизвестно

Почему? Дистрибутивы есть на официальном сайте, правда пока только на .com (в России продажи ещё не идут) можно скачать и посмотреть. + я думаю в тесте которому посвящён этот топик будет именно 2011, а не 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

ответ не на моё высказывание, повторю, какая самозащита в 2011 неизвестно никому т.к. тестов не было, ссылка на статью была дана для тех кто собирается провести новый тест, вдруг что-то новое нашли бы для теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ну как тут проведут, так и узнаем. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
    • santy
      вообще-то это со слов юзера, не факт что было именно так.   chklst & delvir автоматически не добавляются, если количество сигнатур задействованных при детектировании равно нулю. в данном случае была одна сигнатурка (потому и вышел chklst&delvir), скорее всего фолс на чистом файле, которая не была исключена, но она не попала в скрипт за счет автоматического hide file. hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\XCPCSYNC.OEM\SYNCSDK.209.604\TRANSLATORS\MSOL\PROFMAN64.DLL
    • PR55.RP55
      " что там у пользователя уже в базе есть никто не знает." Мало вероятно, что в базе у пользователя что есть... v4.1.7z (1.03 МБ)  Но  автоматически добавлять команду:  delvir и т.д. не стоит. Пока остаюсь при своём мнении.
    • demkd
      А она есть, поскольку ничего другого выгрузить драйвер не могло, ну а что там у пользователя уже в базе есть никто не знает. Тем более что сигнатура у него даже с глубиной совпадения 17 дает более 300 фолсов только по этому образу. uVS не выгружает ничего кроме того что прямо или косвенно указано оператором или через сигнатуры и delvir или delall/unload, никак иначе. Спасибо, исправлю, но хорошо бы еще пароль к архиву, стандартные не подходят

       
    • alamor
      Если будет говорить, что ЭЦП целая на действительно валидную подпись у файла, а не на эту интеловскую, то другое дело :). В архиве четыре подобных файла.
×