Перейти к содержанию
N!k

Тест антивирусов на поддержку упаковщиков

Recommended Posts

N!k

Судя по отчётам, последний такой тест проводился в 2006 году.

Планируется ли аналогичный тест ещё или это уже не актуально в современных условиях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Нет, не планируется. С моей точки зрения (возможно я ошибаюсь), поддержка упаковщиков перестает быть таким важным технологическим элементом с внедрением репутационных сервисов и поведенческого анализа (HIPS). Какой смысла "вскрывать" файл, тратя на это ресурсы компьютера, тормозя его нещадно, если можно проще убедиться в его вредоносности. Если есть репутация, то задача решает сразу. Если ее нет, то можно изолировать запуск приложения и оценить что оно будет делать.

Допускаю, что этот тест может каким-то образом переродиться. Поэтому любые идеи Welcome!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Нет, не планируется. С моей точки зрения (возможно я ошибаюсь), поддержка упаковщиков перестает быть таким важным технологическим элементом с внедрением репутационных сервисов и поведенческого анализа (HIPS). Какой смысла "вскрывать" файл, тратя на это ресурсы компьютера, тормозя его нещадно, если можно проще убедиться в его вредоносности. Если есть репутация, то задача решает сразу. Если ее нет, то можно изолировать запуск приложения и оценить что оно будет делать.

Допускаю, что этот тест может каким-то образом переродиться. Поэтому любые идеи Welcome!

Репутация в том виде, котором она присутствует на рынке сейчас, не особо помогает для детекта упакованной малвари. Поясню. Если есть новый пакер и легкий мутатор кода, то можно сделать 100500 новых экземпляров малвари с неизветсной репутацией. А если уметь распаковывать этот пакер, то все семейство можно взять или одной сигнатурой или одним эвристиком. HIPS, бесспорно, помогает в большей степени.

Насколько я помню, работой с пакерами заморачиваются в паре компаний в мире (еще пара-тройка компаний уделяет какое-то внимание) и мы все знаем кто. Поэтому и тесты проводить особого смысла нет.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Насколько я помню, работой с пакерами заморачиваются в паре компаний в мире (еще пара-тройка компаний уделяет какое-то внимание) и мы все знаем кто. Поэтому и тесты проводить особого смысла нет.

Кстати это тоже аргумент. К тому же весьма непросто объяснить юзерам, какие выводы из этого теста можно сделать. Допустим "защита лучше". Но вот какой реальный прирост это дает и насколько это важно - большой вопрос. Поэтому правильнее смотреть в сторону повторения теста на защиту от zero-day.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×