Перейти к содержанию

Recommended Posts

Burbulator
wx. С чего Вы вообще взяли, что разработчики обязаны читать весь этот Ваш бред. :facepalm:

Хватит пудрить людям мозги, заведите блог и там разоблачайте.

а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

да, виртуальная. vmware workstation

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

сейчас начнут во всем винить vbox )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

У Вас виртуалка на чём установлена... :D

да, виртуальная. vmware workstation

сейчас начнут во всем винить vbox )

Вопросов больше нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поставте на реал. ос NIS и защищайте им виртуальную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

SONAR справляется. Посмотреть можете на примере одной из модификаций ZA.

http://www.youtube.com/watch?v=yR0StxRXqfo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Это не является "искусственным условием" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
А обосновать это можете? Фолсы убирают далеко не по хешу.

Или это о "интеллектуальных описаниях" ? Так это не в счёт.

Пожалуйста. Берете любой файл детектирующийся Symantec как троянская программа или червь(файловые инфекторы не трогаем), открываем файл в любом редакторе способном нормально читать и писать двоичный формат, правим любой понравившийся байт информации, сохраняем. Проверяем антивирусом. PROFIT.

Вот в пример Trojan-GameThief.Win32.Nilage.ili

Поправте первый байт по адресу .10001000(первый не нулевой байт секции .text) 57 на оригинальный 56

ole.dll.malware.prooflink.JPG

post-6056-1316268450_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Это не является "искусственным условием" :)

Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Поставте на реал. ос NIS и защищайте им виртуальную.

когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Это уже совсем другой вопрос ;)

Перефразировали его не немного, а МНОГО :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Непременно :lol:

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Это уже совсем другой вопрос ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

В своем примере я хотел показать как детектирует трояны Symantec. Соотв. я не проверял работоспособность и скорее всего ее не будет, но тем не менее понять что в базу был добавлен хэш а не действительно сигнатура становится очень просто. Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Да, что печально, так поступает не только Symantec. Можете посмотреть сколько детектов отвалилось :(

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский

А

Действительно после некоторых АВ привыкаешь к детекту на мусор, но Norton не из таких.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Для кол-ва баз можно, а потом говорить, что наши базы самые полные :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Думаю, что пользователю необязательно вдаватся в такие подробности, тут важнее конечный результат в виде детекта, фолсов, скорости работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

На этот случай в продуктах Norton используется такая функция, как "Кэширование". Что позволяет не проверять один и тот же файл множественное количество раз, если он, конечно, не был изменён. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×