Тест на предотвращение проникновения в ring0 II (результаты)

[Danilka 678]

1. Не могу сказать причину почему утилиты попадали в доверенные, но то что так происходит весьма странно, т.к. утилиты не имеют подписи, не понятно почему KSN бы мог их занести туда и так же запускались с флешки (имитация атаки вредоноса со сменного носителя). Думаю, лучше тут разобраться разработчикам ЛК, почему подобные утилиты попадают в доверенные.

Вероятно они каким то образом попали в базу KSN? Это следует выяснить Вам с представителями ЛК. Так как просто так в доверенные файлы не попадут без ЦП. Интернет был включен? Да и можно было снять эти 3 галки:

[Kopeicev 94]

Вероятно они каким то образом попали в базу KSN? Это следует выяснить Вам с представителями ЛК. Так как просто так в доверенные файлы не попадут без ЦП.

Даже если эти файлы попали по KSN, мы это учитывали и пробывали запускать утилиты перед этим перенеся их в слабые ограничения, результат всё равно хуже чем при запуске в песочнице.

[Danilka 678]

утилиты перед этим перенеся их в слабые ограничения

Вопрос повторю - режим работы продукта - интерактив или автомат? Это следует учитывать при тестировании HIPS.

[A. 875]

Вероятно они каким то образом попали в базу KSN? Это следует выяснить Вам с представителями ЛК. Так как просто так в доверенные файлы не попадут без ЦП. Интернет был включен? Да и можно было снять эти 3 галки:

А может эти ? )))

[Danilka 678]

А может эти ? )))

Дык тут тестят HIPS. )) Для чистоты можно PDM вообще вырубить.

[Kopeicev 94]

Считай что в автоматическом, но в ручном мы тоже проверили какой будет результат.

Описанные настройки не изменялись, это уже слишком большая перенастройка продукта.

[Danilka 678]

Считай что в автоматическом, но в ручном мы тоже проверили какой будет результат.

Ясно. Тут весь косяк в том, что часть этих тестовых программок попала в базу KSN - может "сбить" хеши и перепроверить, а?

Настройки не изменялись, это уже слишком большая перенастройка продукта.

Тогда тут возникает момент - учета специфики работы конкретного продукта перед началом его тестирования.

[Guest Vievik]

Вопрос повторю - режим работы продукта - интерактив или автомат? Это следует учитывать при тестировании HIPS.

Danilka

Всё подряд попадает с влабые ограничения с низким рейтингом, и отключенной KSN. Можешь посмотреть мой канал:

http://www.youtube.com/watch?v=-wAjCT6L_tc

Kopeicev

Ваши результаты совсем близки к истине, но Я думаю что:

Если бы песочница в Касперску 2011 была автоматизирована, а тестируемые вредоносы автоматически(тут нужно придусматреть что-бы программы не заносились сигнатурно с высоким рейтингом) запускались не только в песочнице, но и без доступа в сеть, до перезапуска ПК. Вот тогда Kaspersky 2011 можно ставить 100%.

А так, Я считаю нужно СПРАВИДЛИВО ставить ему НОЛЬ %, так как мы тестируем не саму песочницу и её пробиваемость.

[Danilka 678]

Vievik

Виталик, сходи - погуляй.

[Kopeicev 94]

Ясно. Тут весь косяк в том, что часть этих тестовых программок попала в базу KSN - может "сбить" хеши и перепроверить, а?

Тогда тут возникает момент - учета специфики работы конкретного продукта перед началом его тестирования.

Даня, а смысл? Я тебе уже написал выше что вручную даже из доверенных переносили в другую группу. И результат был хуже чем при запуске в песочнице, поэтому мы взяли лучший из показанных результатов - это результат при запуске тулзы в сандбокс.

Касаемо настроек, редкий юзер будет так копаться, тест просто бы потерял "реальность", нам нужно показать как будет работать продукт у юзеров в случаях атак...

[Danilka 678]

Даня, а смысл? Я тебе уже написал выше что вручную даже из доверенных переносили в другую группу. И результат был хуже...

Ок, можете предоставить результаты тестирования при переносе из группы доверенных в слабые, при условии работы продукта в ручном режиме?

[Guest Vievik]

нам нужно показать как будет работать продукт у юзеров в случаях атак...

Поэто-му, ну очень большая прозьба учесть что Я написал выше.

[Kopeicev 94]

Ок, можете предоставить результаты тестирования при переносе из группы доверенных в слабые, при условии работы продукта в ручном режиме?

Да, конечно могу, все плюсы, кроме ChangeDrvPath - там минус, этот кейс пропущен, а значит результаты хуже чем в сандбокс.

[Danilka 678]

Да, конечно могу, все плюсы, кроме ChangeDrvPath - там минус, этот кейс пропущен, а значит результаты хуже чем в сандбокс.

Уточню - продукт работает в ручном режиме и все тузлы в слабых, так?

[Kopeicev 94]

Уточню - продукт работает в ручном режиме и все тузлы в слабых, так?

Именно так

[Danilka 678]

Именно так

Все, отлично. Это я и хотел узнать. А про песочницу понятно - там другого не ожидалось.

[OlegAndr 236]

Дайте Md5-ки тулзов, проведем расследование как они попали в базу.

[Sansero.ee 121]

Интересно, почему у АВГ такой контрастный результат, по сравнению с тем, который был получен в первый раз(снятый из за сомнений по поводу ОА)?

[neron 10]

Даня, а смысл? Я тебе уже написал выше что вручную даже из доверенных переносили в другую группу. И результат был хуже чем при запуске в песочнице, поэтому мы взяли лучший из показанных результатов - это результат при запуске тулзы в сандбокс.

Хуже-лучше...Все это попахивает откровенной подтасовкой результатов со стороны лаборатории Касперского.Почему другие продукты так досконально не настраивались для получения лучших результатов?И вся эта якобы абсолютная независимость-чистой воды блеф,что видно по всем вашим "тестам".Где Касперский всегда первый.Сколько он вам платит?

[neron 10]

Хм....Очень интересные результаты... Приведу пост юзера и сразу добавлю, что сам это проверял, но сначала нарвался на то, что зловред запущенный в песочнице с настройками по-умолчанию спокойно попал в ОСь.

Это мой пост на форуме Комодо.Я думаю там все дело в том,что угрозы игнорировались,заносились в исключения антивируса.А песочница не предназначена для запуска в ней заведомо вредоносных программ.

[Dmitriy K 603]

А песочница не предназначена для запуска в ней заведомо вредоносных программ.

она нужна только для заведомо НЕ вредоносных программ?

[Сергей Ильин 1538]

Это мой пост на форуме Комодо.Я думаю там все дело в том,что угрозы игнорировались,заносились в исключения антивируса.А песочница не предназначена для запуска в ней заведомо вредоносных программ.

Думаю это просто бага логики этого антивируса. В песочнице нужно запускать самое подозрительное и самое опасное, она для этого и предназначена

Если бы песочница в Касперску 2011 была автоматизирована, а тестируемые вредоносы автоматически(тут нужно предусматривать что-бы программы не заносились сигнатурно с высоким рейтингом) запускались не только в песочнице, но и без доступа в сеть, до перезапуска ПК. Вот тогда Kaspersky 2011 можно ставить 100%.

Тут дело не только в песочнице, Слава уже написал выше, что в ручном режиме все равно будут блокировать все кроме одного кейса:

Да, конечно могу, все плюсы, кроме ChangeDrvPath - там минус, этот кейс пропущен, а значит результаты хуже чем в сандбокс.

Хуже-лучше...Все это попахивает откровенной подтасовкой результатов со стороны лаборатории Касперского.Почему другие продукты так досконально не настраивались для получения лучших результатов?И вся эта якобы абсолютная независимость-чистой воды блеф,что видно по всем вашим "тестам".Где Касперский всегда первый.Сколько он вам платит?

Ерунду пишите ей богу. Какая нахрен подтасовка? Почитайте текст который идет после Таблицы 1 в отчете. Там расписано для всех продуктов, у которых есть варианты (результаты отмеченные *). Особенно это касается чистых HIPS. Для Kaspersky Internet Security написано все предельно четко:

В Kaspersky Internet Security для получения положительных результатов, нужно запускать тестовое приложение в песочнице. С настройками по умолчанию во всех случаях тест будет провален, так как тестовые утилиты попадают в группу доверенных приложений или со слабыми ограничениями.

[SDA 750]

Выскажу крамолу :

тест ради теста, без практического применения т.е. одна теория. Пример: тут в теме много говорилось о песочницах, на практике любой пинч отправляет инфу из песочницы, да еще из винды, где все службы запускаются от имени пользователя System

Скажите мне, какая польза от этого теста простому пользователю?

[neron 10]

она нужна только для заведомо НЕ вредоносных программ?

Заведомо вредоносные программы по логике должны немедленно удаляться или изолироваться в карантине.

Ерунду пишите ей богу. Какая нахрен подтасовка? Почитайте текст который идет после Таблицы 1 в отчете. Там расписано для всех продуктов, у которых есть варианты (результаты отмеченные *). Особенно это касается чистых HIPS. Для Kaspersky Internet Security написано все предельно четко:

Тошнит просто уже от этой навязчивой рекламы продуктов ЛК!Сегодня видел в Подмосковье вертолет кружил с баннером Касперского!Скоро в туалет зайдешь,а там он-спаситель рода людского Евгений Валентинович!

[Kopeicev 94]

Интересно, почему у АВГ такой контрастный результат, по сравнению с тем, который был получен в первый раз(снятый из за сомнений по поводу ОА)?

После публикования первых результатов, было выявлено что тестовой утилите возвращался результат что тест пройден, когда на самом деле он был провален. Тоже самое у TrendMicro.

Дайте Md5-ки тулзов, проведем расследование как они попали в базу.

Чуть позже сами тестовые утилиты передам Данилке.