Тест на предотвращение проникновения в ring0 II (подготовка)

[Killer 55]

Настоятельно предлагаю включить WIN7 X64

[sww 486]

Настоятельно предлагаю включить WIN7 X64

Настоятельно рекомендую почитать MSDN/WDK и не пороть чушь.

Ключевые слова: подписанные драйверы, PatchGuard.

P.S. Да-да, единственный и неповторимый TDL4 и ВСЕ!

[Kopeicev 94]

именно, SWW спасибо за ответ ты как всегда прав.

[Killer 55]

подписанные драйверы, PatchGuard.

Мммм... А что это?

Да-да, единственный и неповторимый TDL4

Согласен. Тьфу, ну и фиг с ним

и ВСЕ!

Ок, подождем еще полгода

[DiabloNova 175]

А вдруг Killer хотел отсыпать немного этого вкусного зиродея и скомпелировать в месте?

[Killer 55]

Вступаю и компелирую

[hitman_007 25]

Пятерку берите.

А может лучше сразу и 4.1 и 5? Для наглядности, что же они там так сильно улучшили?

Интересно жж

[Dmitriy K 603]

А может лучше сразу и 4.1 и 5?

а лучше с самых первых версий, посмотрим на динамику изменений

[sww 486]

а лучше с самых первых версий, посмотрим на динамику изменений

А лучше вы скинетесь Копейцеву по 1000$ и он сделает тест на всех операционных системах начиная с Windows 3.1

[Dmitriy K 603]

А лучше вы скинетесь Копейцеву по 1000$ и он сделает тест на всех операционных системах начиная с Windows 3.1

в конце предложения стоит смайл

[dr_dizel 385]

P.S. Да-да, единственный и неповторимый TDL4 и ВСЕ!

Современные активаторы W7, к примеру SLIC-эмуляцией, в гробу видели этот "неповторимый" TDL4.

[sww 486]

Современные активаторы W7, к примеру SLIC-эмуляцией, в гробу видели этот "неповторимый" TDL4.

И как это относится к обсуждаемой теме? Ко вредоносному коду под x64. Напоминаю на всякий, мало ли ты еще не слез с бронетанка.

[dr_dizel 385]

И как это относится к обсуждаемой теме? Ко вредоносному коду под x64. Напоминаю на всякий, мало ли ты еще не слез с бронетанка.

Как относиться загрузка до ОС и манипуляции с ней к проникновению в нулевое кольцо? А какое отношение имеешь ты к аверской индустрии? И руки прочь от бронетанка: максимум тебе в руки - совочек для копания.

И вообще привязка теста к каким-то известным сэмплам полный отстой, имхо. Может завтра откопают труп очередного рустока, который полгода назад на протяжении нескольких месяцев "насиловал миллионы пользователей во время сна", и что тогда? Тесты нужно делать на будущее так сказать. А то антивирусы защищают нас в прошлом, тесты делаются для старых методов, что-то свеженькое есть только в бсодящих бэтах, и вообще вся эта котовасия напоминает дешевую рекламу ускорителей интернета и дефрагментаторов памяти. Илья говорил, что экспертов ого-го набрали, но что-то результатов их деятельности не видно. Зачем он их набрал? Для соответствующего окружения персоны?

[sww 486]

Как относиться загрузка до ОС и манипуляции с ней к проникновению в нулевое кольцо?

см. TDL4. Остальное - не вредоносный код.

Остатки хреноты комментировать не буду.

[dr_dizel 385]

см. TDL4. Остальное - не вредоносный код.

Ну... обычно после егоного сэмпла ОС не грузится, а после активатора не только грузится, но и активирована. Я верно угадал "неповторимость" TDL4?

Если корректнее выразить мысль, то не важно какой код, а важно что проникает в 0. И тест должен быть с актуальными методами. Тут сэмплы не подходят. Тест же по существующей методологии скорее относится к "альтернативным".

P.S. Что ты за эксперт портала такой, что Илье с тестом помочь даже не можешь. Гнать таких за лежебочество.

Отредактировал Сентябрь 16, 2010 dr_dizel

[sww 486]

Ну... обычно после егоного сэмпла ОС не грузится, а после активатора не только грузится, но и активирована. Я верно угадал "неповторимость" TDL4?

Я не все ОСи еще проверил, но WinXP x86 грузится и все работает. Способ известен, был описан тысячу лет тому назад и есть сэмпл. Причем тут активаторы, я не понимаю???

[ak_ 395]

В тест предлагаю взять такие продукты, где есть HIPS:

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 4.1

Еще можно в этот список добавить

Safe`n`Sec Deluxe

Online Solutions Security Suite 1.5

DefenceWall Personal Firewall

Предлагаю добавить в этот список Avira PSS 10. Там есть новый модуль ProActive. Интересно посмотреть, на что он способен.

Только нужно учесть, что он интегрирован в модуль Guard и, соответственно, при отключении Guarda (влияние сигнатурного детекта) тоже работать не будет.

[Kopeicev 94]

Ну так в продукте есть возможность отключить только сигнатурное детектирование?

[Umnik 997]

Kopeicev

Вообще, в здравом уме ни один разработчик не будет делать такую фишку. Ее, понимаешь, еще надо будет тестировать. Ресурсы тратить ради того, чтобы кто-то проводил синтетические тесты и только?

[dr_dizel 385]

Причем тут активаторы, я не понимаю???

Напряги. При том, что для проникновения в 0 не обязательно писать хитрый высокотехнологичный код. Методов множество, даже самые "каличные" есть и работают.

[Kopeicev 94]

Итак, попытаюсь подвести итог. Были предложены продукты:

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 5.0

7. Safe`n`Sec Deluxe

8. Online Solutions Security Suite 1.5

9. DefenceWall Personal Firewall

10. Malware Defender Free

11. GeSWall

12. Lavasoft Personal Firewall

13. ZoneAlarm Internet Security Suite

14. Avira Premium Security Suite 10

Замечания\предложения?

[Kopeicev 94]

После обсуждения с одним из экспертов портала список был изменён:

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 5.0

7. Safe`n`Sec Deluxe

8. Online Solutions Security Suite 1.5

9. DefenceWall Personal Firewall

10. ESET Smart Security 4

11. Norton Internet Security 2011

12. Trend Micro Titanium Internet Security 2011

13. ZoneAlarm Internet Security Suite

14. Avira Premium Security Suite 10

15. Mcafee Internet Security 2010

16. Panda Internet Security 2010

[Danilka 678]

16. Panda Internet Security 2010

А че не 2011?

http://www.pandasecurity.com/uk/

[vaber 350]

При тестировании Kaspersky и ZoneAlarm я так понимаю запуск семплов будет проходить из под браузера, в песочнице?

[Kopeicev 94]

Учёл замечание Данилки

1. PC Tools Internet Security 2010

2. Jetico Personal Firewall 2.0.2.8.2327

3. Online Armor ++ Firewall 4.5

4. Kaspersky Internet Security 2011

5. Outpost Security Suite Pro 2010 (7.0)

6. Comodo Internet Security 5.0

7. Safe`n`Sec Deluxe

8. Online Solutions Security Suite 1.5

9. DefenceWall Personal Firewall

10. ESET Smart Security 4

11. Norton Internet Security 2011

12. Trend Micro Titanium Internet Security 2011

13. ZoneAlarm Internet Security Suite

14. Avira Premium Security Suite 10

15. Mcafee Internet Security 2010

16. Panda Internet Security 2011

P.S. Решили что где есть песочница будем использовать.