Тест на предотвращение проникновения в ring0 II (результаты)

[Сергей Ильин 1538]

Любые, я имею ввиду, доступные юзеру тесты ОА проходит со 100% результатом... А тут молча дал поставить драйвер в ОС?

А результаты случайно у программ не поменялись?

Мы активно выясняет этот вопрос. Очень вероятно, что здесь возникла техническая ошибка в ходе проведения теста. Так как при других условиях (другие инструменты) тест ОА проходит успешно, что подтверждал прошлый похожий тест.

[Сергей Ильин 1538]

Друзья, я вынужден признать нехорошую вещь.

Первый раз на нашей истории нам приходится отзывать статью, которая уже была опубликована.

Дело в том, что возникли серьезные сомнения в валидности результатов для некоторых продуктов (например, Online Armor). В ходе теста были допущены технические ошибки, которые и исказили результаты.

Всякое бывает в жизни. Мы признаем свои ошибки и сделаем из произошедшего самые серьезные выводы. Прошу отнестись к произошедшему с пониманием.

************************

Републикация результатов теста намечена на следующую среду (10 ноября).

[Rampant 220]

Дело в том, что возникли серьезные сомнения в валидности результатов для некоторых продуктов (например, Online Armor).

более чем логично)

[amid525 67]

Результаты можно посмотреть здесь http://www.anti-malware.ru/hips_test_ring0_2010

Извиняюсь, Почему не т доступа к странице? Т.е пишет "доступ запрещен"

[Kapral 311]

Ответ двумя постами выше

[deviss 75]

коварный гугл все сохранил

Тест HIPS на предотвращение проникновения в ядро Microsoft Windows II

Впрочем, это будет интереснее, когда будет републикация результатов, для сравнения.

[neron 10]

Сергей Ильин,пожалуйста подскажите какие настройки были при тестировании Comodo Internet Security?А именно был ли включен режим песочницы?

[zzoozz 5]

Первый раз на нашей истории нам приходится отзывать статью, которая уже была опубликована.

второй раз. первый раз был когда косяк в тесте аутпоста. его переделывали, если память не подводит.

[Сергей Ильин 1538]

второй раз. первый раз был когда косяк в тесте аутпоста. его переделывали, если память не подводит.

Мы тогда просто поправили результаты, при этом статью не убирали.

[GRINDERs 35]

Когда будут новые результаты? Очень интересно было бы взглянуть как защищает на Online Armor

[neron 10]

Мы тогда просто поправили результаты, при этом статью не убирали.

пожалуйста подскажите какие настройки были при тестировании Comodo Internet Security?А именно был ли включен режим песочницы?

[StarStream 55]

Когда будут новые результаты? Очень интересно было бы взглянуть как защищает на Online Armor

Выше написано, читайте внимательно.

Републикация результатов теста намечена на следующую среду (10 ноября).

[Сергей Ильин 1538]

Когда будут новые результаты? Очень интересно было бы взглянуть как защищает на Online Armor

Републикация результатов теста намечена на следующую среду (10 ноября).

[sergewka 10]

Таблица 2: Количество оповещений и запросов действий пользователя на Windows XP

Вспомнился аптекарь из фильма "Новые приключения неуловимых" со своей известной фразой:"Много...-много"

[Сергей Ильин 1538]

sergewka, а подобные посты напоминают поведение жирного сального тролля

[Mr. Justice 771]

Сообщения, нарушающие правила форума удалены.

sergewka

Здесь не раздел "Свободное общение". Уже не первый раз замечаю за вами явный троллинг и оффтопик. На этот раз ставлю вас на кратковременную премодерацию (3 дня). В следующий раз будет бан. Прежде чем, что-то написать (сделать) советую вам внимательно прочитать правила форума.

[Mr. Justice 771]

Господа, еще раз прошу придерживаться правил форума. Перед тем как писать на форуме, прочитайте внимательно название темы, успокойтесь, соберитесь с мыслями и пишите.

Сообщение удалил - оффтопик.

[GRINDERs 35]

Где результаты?

[A. 875]

Тренд передает привет

или наоборот - передаем привет Тренду

Trend Micro Titanium Maximum Security 2011 0day Local Kernel Exploit

Продолжаем наш парад:

G Data TotalCare 2011 0day Local Kernel Exploit

G Data TotalCare 2011 NtOpenKey Race Condition Vulnerability

Avast! Internet Security aswtdi.sys 0day Local DoS

Avira Premium Security Suite NtCreateKey Race Condition Vulnerability

AVG Internet Security v9.0.851 Local Denial of Service Exploit

[Kopeicev 94]

Где результаты?

С технической стороны результаты уже готовы и сейчас готовятся к публикации, очень скоро вы их увидите.

[Сергей Ильин 1538]

Как и обещали, публикуем перепроверенные результаты по этому сравнению. Адрес все тот же

http://www.anti-malware.ru/hips_test_ring0_2010

Изменения:

1. AVG - нет HIPSa

2. OA - 100% защита с настройками по умолчанию

3. Trend Micro - взял только 1 кейс

4. Каспеский и Комодо проходят тест только в случае ручного запуска утилит под сендбоксом.

**********************************

Почему такие сильные изменения? В большинстве случаем это вызвано тем, что тестовые утилиты в силу совокупности условий возвращали неверные результаты. Сейчас мы все перепроверяли дополнительно вручную.

[Danilka 678]

4. Каспеский и Комодо проходят тест только в случае ручного запуска утилит под сендбоксом.

В Kaspersky Internet Security для получения положительных результатов, нужно запускать тестовое приложение в песочнице. С настройками по умолчанию во всех случаях тест будет провален, так как тестовые утилиты попадают в группу доверенных приложений или со слабыми ограничениями.

Правильно я понимаю, что некоторые утилиты попадали в группу доверенных по KSN? Что касается слабых - да, рейтинг расчитывается в зависимости от места запуска утилиты - например если запускать утилиту с рабочего стола, то ее рейтинг будет ниже, чем при запуске в "корне" системного диска или из папки %temp%.

Также:

Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS.

Верно ли я понимаю, что KIS работал не в интерактивном (ручном режиме), а в автомате?

[Razboynik 105]

Как и обещали, публикуем перепроверенные результаты по этому сравнению. Адрес все тот же

http://www.anti-malware.ru/hips_test_ring0_2010

В статье по данному адресу:

По результатам тестирования оказалось, что в антивирусных продуктах AVG, Norton, Avira, McAfee и Panda по факту отсутствуют HIPS-компоненты. Этими продуктами были провалены все тестовые кейсы, поэтому из итоговых результатов теста они были исключены.

И далее:

В Kaspersky Internet Security для получения положительных результатов, нужно запускать тестовое приложение в песочнице. С настройками по умолчанию во всех случаях тест будет провален, так как тестовые утилиты попадают в группу доверенных приложений или со слабыми ограничениями.

Comodo Internet Security при запуске тестового приложения предлагает запустить его в песочнице, если с этим согласиться, то все попытки проникновения в ядро будут пресечены. В обычном режиме, как и в случае с Kaspersky Internet Security во всех случаях тест будет провален.

Два момента:

1. Kaspersky Internet Security, а также Comodo Internet Security вне песочницы проваливают все тесты. Значит ли это, что в данных продуктах отсутствует хипс?

2. Если бы продукты AVG, Norton, Avira, McAfee и Panda имели песочницы - тесты были бы пройдены. Означало бы это, что в данных продуктах есть хипс?

Вопросы риторические. Просто обратил внимание на описание логики определения в продуктах компоненты HIPS.

[Chekm 100]

Comodo Internet Security вне песочницы проваливают все тесты.

Хм....Очень интересные результаты... Приведу пост юзера и сразу добавлю, что сам это проверял, но сначала нарвался на то, что зловред запущенный в песочнице с настройками по-умолчанию спокойно попал в ОСь.

"...Но вот на днях решил проверить защиту Comodo с помощью лик-тестов.Вот с этой страницы их скачал:

http://www.pcflank.com/leaktests_info.htm

Антивирус Comodo при скачивании ругался,объявляя все файлы вирусами-прописал их в исключения.Настройки CIS все по-умолчанию,песочница включена,файерволл и проактивная защита-безопас.,антивирус-кумулятив.

Запускал скачанные файлы,Комодо всех прятал в песочницу,при всех вопросах я отвечал блокировать.

И что в итоге...треть или половину тестов Комодо провалил!Более того начальная страница IE поменялась на французский Гугл!Рабочий стол изменился до неузнаваемости:надписи к ярлыкам стали белыми на черном фоне!Меня аж покоробило...Но и это еще не все...Через какое-то время тема рабочего стола Alfa вообще пропала.Вместо нее появился кусок страницы с таким содержанием(дословно):"надо было пользоваться встроенным брандмауэром виндоуз!"И ссылкой на какой-то хакерский сайт...Как вам это,а?!Вот поддонки!..Вот уроды!..И не верь после этого антивирю Комодо!

Ну ладно,думаю,что делать?Восстановил систему из резервного снимка Акрониса.Вроде нормально пашет все...

И что за хрень с этими хакерами французскими?И чего это вдруг Комодо так облажался?Ну,думаю попробую-ка рискну еще раз,проверю...Только песочницу отключу.

И что оказывается-все тесты на ура,все заблокировано,граница на замке!

...я решил проверить в чем здесь дело и какой из файлов смог пробить песочницу.Для этого я снова провел тесты на этих образцах,каждый раз меняя настройки(уровень контроля исполнения приложений-с недоверенного до частично ограниченного и вообще с отключенной песочницей-всего 5 видов настроек.)

И вот к какому выводу я пришел.ЗАРАЖЕНИЕ ПРОИСХОДИЛО ТОЛЬКО ПРИ НАСТРОЙКАХ ПО-УМОЛЧАНИЮ!!!С отключенной песочницей проактивная защита сразу выдавала ярко-красное окошко о попытке Breakout-wp.exe(это третий в списке) изменить значение реестра.В других случаях она молча блокировала зловреда в песочнице(читал журнал)И только в последнем случае(с заводскими настройками)она тихо пропустила удар. "

[Kopeicev 94]

Правильно я понимаю, что некоторые утилиты попадали в группу доверенных по KSN? Что касается слабых - да, рейтинг расчитывается в зависимости от места запуска утилиты - например если запускать утилиту с рабочего стола, то ее рейтинг будет ниже, чем при запуске в "корне" системного диска или из папки %temp%.

Верно ли я понимаю, что KIS работал не в интерактивном (ручном режиме), а в автомате?

1. Не могу сказать причину почему утилиты попадали в доверенные, но то что так происходит весьма странно, т.к. утилиты не имеют подписи, не понятно почему KSN бы мог их занести туда и так же запускались с флешки (имитация атаки вредоноса со сменного носителя). Думаю, лучше тут разобраться разработчикам ЛК, почему подобные утилиты попадают в доверенные.

2. А результат в обоих режимах без Сандбокса был один и тот же, раз приложение в группу доверенные попадало ему ничего и не запрещалось... Вот если в ручном режиме занести тулзу в другую группу руками будет результат лучше, но это уже слишком большие изменения.

1. Kaspersky Internet Security, а также Comodo Internet Security вне песочницы проваливают все тесты. Значит ли это, что в данных продуктах отсутствует хипс?

2. Если бы продукты AVG, Norton, Avira, McAfee и Panda имели песочницы - тесты были бы пройдены. Означало бы это, что в данных продуктах есть хипс?

1. Нет, HIPS присутствует, просто разные есть HIPS, Sandbox это тоже HIPS

2. Как я написал выше песочница тоже HIPS, т.е. если бы были песочницы то да.