Тест самозащиты антивирусов x64 (подготовка)

[Umnik 997]

Брать АВ на ифолдере? Мама, роди меня обратно.

[GReY 35]

Бету можно скачать с Microsoft

[Андрей-001 1099]

Брать АВ на ифолдере? Мама, роди меня обратно.

Umnik, не ворчи! Читай внимательнее.

Это я же закачал её туда. Если нет прямой ссылки от MS.

Написано же было

не для всех.

Т.е. в общем доступе пока ссылки нет. Не хочешь не бери, тогда идентифицируйся по ссылке, что дал GReY, глядишь и бильду поновее получишь.

[Umnik 997]

Андрей-001

Буду ворчать. Потому что ссылка на нечто, что не может принимать участие в тесте. Да еще на файлопомойке. У меня шаблон трещит, когда антивирусы выкладывают на рапидшары, а тут это вообще на АМ.

[Андрей-001 1099]

Да еще на файлопомойке. У меня шаблон трещит, когда антивирусы выкладывают на рапидшары, а тут это вообще на АМ.

Ну, размер этот большой, к сообщению не приложишь. Письмом что ли выслать?

[Kopeicev 94]

По названию продукта Avira, принято. А вот по MS, это точно релиз, а не бета? P.S. Буду качать дистрибутив с сайта MS, с обменника естественно ничего брать не будем. Если сайт MS выдаст мне эту версию - возьмём в тест.

[felize 0]

где можно почитать о методиках тестирования?

[Андрей-001 1099]

где можно почитать о методиках тестирования?

Всё здесь:

http://www.anti-malware.ru/methodology

[felize 0]

спасибо за ссылку, но меня интересуют методы тестирования под x64

[Kopeicev 94]

спасибо за ссылку, но меня интересуют методы тестирования под x64

А я тебе в ЛС на AV-School уже писал, что методология будет выложена вместе с результатами тестирования.

[felize 0]

а почему не выложите сейчас? или их пока еще нет?

[Kopeicev 94]

а почему не выложите сейчас? или их пока еще нет?

Методология сейчас ещё в разработке, если тебя интересуют конкретные моменты, можешь задать конкретные вопросы. Я отвечу.

[felize 0]

вопросы

1. Совместимость с pg

2. Потестите метод с ноификаторами

[Kopeicev 94]

вопросы

1. Совместимость с pg

2. Потестите метод с ноификаторами

1. Тесты будут работать в ring3.

2. ноификаторы? Что это такое?

[felize 0]

а почему с нулевого кольца не попробуете?

про нотификаторы

метод примерно такой: (идея взята из TDL)

1. Устанавливаем нотфикатор PsSetCreateProcessNotifyRoutine

2. После установки нотификатора в калбеке вызываем PsLookupProcessByProcessId и передаем ид процессса

3. Из eprocess извлекаем имя и если оно есть в нашем черном списке, то ZwOpenProcess->ZwTerminateProcess

[felize 0]

если интересует, могу дать драйвер юзающий этот метод

[sww 486]

Из ring-0 вагон и маленькая тележка способов убиения чего-либо. Нет смысла защищаться, т.к. все равны перед ядром.

[felize 0]

а какой смысл тогда использовать только юзермодные методы завершения? они ведь все будут обращаться к перехваченным функциям (или открыли зиродей сплойт позволяющий срубать процессы ав с юзермода?)

[Umnik 997]

Хороший смысл. Тест на проникновение в нулевое кольцо - это отдельный тест и он тоже проводится.

[felize 0]

маленький вопрос: какие из представленных ав ставят хуки на нулевом кольце?

[sww 486]

маленький вопрос: какие из представленных ав ставят хуки на нулевом кольце?

Думаю, что все.

Еще раз повторяю, какой смысл тестировать уничтожение процессов из ядра, если я могу забить адресное пространство процесса нулями не вызывая никаких функций? Вот когда придумаете как бороться с таким - приходите.

[Kopeicev 94]

Коллеги, мы вынуждены перенести сроки публикации тестов на пока точно не определённый срок. Причина тому то, что нам нужно переписать несколько тестовых утилит под работу на x64. Мы приняли такое решение т.к. всегда стремимся проводить наши тесты на самом высоком уровне и для этого необходима 100% гарантия корректности работы тестовых утилит на ОС x64.

Как только сроки станут известны - мы их опубликуем!

Спасибо за понимание!

[wert 60]

Коллеги, мы вынуждены перенести сроки публикации тестов на пока точно не определённый срок. Причина тому то, что нам нужно переписать несколько тестовых утилит под работу ...АВК

Да, это правильно, нужно быть в большем и лучшем контакте с экспертами антималваре, не то, что в предыдущем подобном тесте.

[Михуил 5]

на главной странице вижу что тест выйдет в ноябре под win7 64-битку. уже декабрь. поменяйте СКОРО НА САЙТЕ. вообще жду тест. хочу свой win 7-32 на win 7-64 поменять

[Kopeicev 94]

Тест будет выложен до конца месяца.