Тест самозащиты антивирусов x64 (подготовка) - Страница 3 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Kopeicev

Тест самозащиты антивирусов x64 (подготовка)

Recommended Posts

Umnik

Брать АВ на ифолдере? Мама, роди меня обратно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Брать АВ на ифолдере? Мама, роди меня обратно.

Umnik, не ворчи! :) Читай внимательнее.

Это я же закачал её туда. Если нет прямой ссылки от MS.

Написано же было

не для всех.

Т.е. в общем доступе пока ссылки нет. Не хочешь не бери, тогда идентифицируйся по ссылке, что дал GReY, глядишь и бильду поновее получишь. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Буду ворчать. Потому что ссылка на нечто, что не может принимать участие в тесте. Да еще на файлопомойке. У меня шаблон трещит, когда антивирусы выкладывают на рапидшары, а тут это вообще на АМ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Да еще на файлопомойке. У меня шаблон трещит, когда антивирусы выкладывают на рапидшары, а тут это вообще на АМ.

Ну, размер этот большой, к сообщению не приложишь. Письмом что ли выслать? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

По названию продукта Avira, принято. А вот по MS, это точно релиз, а не бета? P.S. Буду качать дистрибутив с сайта MS, с обменника естественно ничего брать не будем. Если сайт MS выдаст мне эту версию - возьмём в тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

где можно почитать о методиках тестирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
где можно почитать о методиках тестирования?

Всё здесь:

http://www.anti-malware.ru/methodology

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

спасибо за ссылку, но меня интересуют методы тестирования под x64

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
спасибо за ссылку, но меня интересуют методы тестирования под x64

А я тебе в ЛС на AV-School уже писал, что методология будет выложена вместе с результатами тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

а почему не выложите сейчас? или их пока еще нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
а почему не выложите сейчас? или их пока еще нет?

Методология сейчас ещё в разработке, если тебя интересуют конкретные моменты, можешь задать конкретные вопросы. Я отвечу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

вопросы

1. Совместимость с pg

2. Потестите метод с ноификаторами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
вопросы

1. Совместимость с pg

2. Потестите метод с ноификаторами

1. Тесты будут работать в ring3.

2. ноификаторы? :unsure: Что это такое? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

а почему с нулевого кольца не попробуете?

про нотификаторы

метод примерно такой: (идея взята из TDL)

1. Устанавливаем нотфикатор PsSetCreateProcessNotifyRoutine

2. После установки нотификатора в калбеке вызываем PsLookupProcessByProcessId и передаем ид процессса

3. Из eprocess извлекаем имя и если оно есть в нашем черном списке, то ZwOpenProcess->ZwTerminateProcess

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

если интересует, могу дать драйвер юзающий этот метод

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Из ring-0 вагон и маленькая тележка способов убиения чего-либо. Нет смысла защищаться, т.к. все равны перед ядром.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

а какой смысл тогда использовать только юзермодные методы завершения? они ведь все будут обращаться к перехваченным функциям (или открыли зиродей сплойт позволяющий срубать процессы ав с юзермода?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Хороший смысл. Тест на проникновение в нулевое кольцо - это отдельный тест и он тоже проводится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
felize

маленький вопрос: какие из представленных ав ставят хуки на нулевом кольце?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
маленький вопрос: какие из представленных ав ставят хуки на нулевом кольце?

Думаю, что все.

Еще раз повторяю, какой смысл тестировать уничтожение процессов из ядра, если я могу забить адресное пространство процесса нулями не вызывая никаких функций? Вот когда придумаете как бороться с таким - приходите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Коллеги, мы вынуждены перенести сроки публикации тестов на пока точно не определённый срок. Причина тому то, что нам нужно переписать несколько тестовых утилит под работу на x64. Мы приняли такое решение т.к. всегда стремимся проводить наши тесты на самом высоком уровне и для этого необходима 100% гарантия корректности работы тестовых утилит на ОС x64.

Как только сроки станут известны - мы их опубликуем!

Спасибо за понимание!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wert
Коллеги, мы вынуждены перенести сроки публикации тестов на пока точно не определённый срок. Причина тому то, что нам нужно переписать несколько тестовых утилит под работу ...АВК

Да, это правильно, нужно быть в большем и лучшем контакте с экспертами антималваре, не то, что в предыдущем подобном тесте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михуил

на главной странице вижу что тест выйдет в ноябре под win7 64-битку. уже декабрь. поменяйте СКОРО НА САЙТЕ. вообще жду тест. хочу свой win 7-32 на win 7-64 поменять :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Тест будет выложен до конца месяца.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×