Перейти к содержанию
RuJN

тест на детектирование и лечение вирусов для рунета

Recommended Posts

RuJN

Предлагаю провести такой тест.

Для рунета почти не актуальны винлоки с логотипом ФБР США, например. Можно взять русские винлоки, Trojan.Encoder в больших количествах модификаций и проверить уровень их детекта разными вендорами.

Также взятьрзличное русское ПНПО типа установочников тулбаров по партнерке с подписью mail.ru. На счет необходимости детектировать ПНП вопрос спорный, но польхователи должны видеть реальную способность антивируса зазитить от них.

То же самое с русскоязычными вредоносными веб-сайтами и русскоязычным фишингом.

Можно и лечение в активном состоянии проверить хотя бы у части вредоносного ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

спонсируете сэмплами?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Можно взять русские винлоки

Я предлагаю взять славянские винлоки!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а если серьёзно, то:

1. В одну кучу мешать в -данном- случае малварь и адварь нельзя, нужно два теста - по детекту адвари и малвари.

2. Детект русской малвари - даже если мы все скинемся, то вряд ли выйдет насобирать более 5000 русской разной малвари. Т.к критерий точности по нац.признаку подрежет сильно и надо сделать некий отсев дублей, т.к разный мд5 не означает разную малварь, можно к билдеру винлока прикрутить скрипт, который будет на одну букву менять текст и компилить, тогда за полчаса будем иметь кучу малвари, но тестить по ней аверы - глупость. А вот если такой билд пакнут/криптован, то можно считать другой малварью...

иными словами насобирать достаточного количества репрезентативную кучку малвари не сможем...

3. По адвари.

Набрать за сутки коллекцию в несколько тысяч не проблема, но тест будет показывать лишь одно - политику компании по отношению к конкретной адвари, т.к если авер детектит один файл, то детектит и практически все остальные данного семейства, т.к по сути у них один общий жирный стаб.

Интереснее будет набрать коллекцию штук в 300 по 10 адварей от каждого популярного семейства и просканить это авером с настройками по умолчанию, вот тогда будет видно реальный детект для ендюзера, а не для прохождения тестов. Но позиционировать данный тест как один из тестов антималваре не солидной как то ... это так чисто самим тут на форуме побаловаться и друг дружку потроллить от скуки :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В этом тесте остро встает вопрос выбора семплов, о чем написал сразу priv8v. Я даже не про проблемы сбора тушек зверьков, хотя правильнее тестировать на реальных атаках (динамический теста), а про критерии отбора и прозрачность этого процесса. Как нам обосновать выбор именно этих, предпложим 100 вредоносов? Если их всего может быть миллион или более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Семплами не проспонсирую, их у меня вообще нет(

с тестом на малварь все проще, тут у всех вендоров политика одинаковая же... Где семплы брать не мне знать, но, если брать из публичных мест, то может возникнуть такая проблема, что венжором А это публичное место мониторится, а вендором В - нет. Если так, то брать примерно поровну, но опять нехорошо, потому что из всех существующих вирусных библиотек поровну взять просто невозможно. В конце концов наплевать на это и собрать хотя бы штук 500 семплов посвежее и часть давнишних, результат длжен достатлчно отражающим отношениеивендоров к этому вопросу. Если проводить динамическое тестирование, то много семплов и не надо.

мой знакомый однажды просто разговаривал по скайпу, ни по каким соответствующим сайтам 100% не лазил, вдруг на экране прокручивается порнография, комп. пережагружается и баннер. Он идет в Связной, где продавец за 250 рублей вместо лицензионной заводской висты ставит пиратскую ХР. Сам файл винлока потом находим, он случайно запускается, а баннер удаляется лайв сиди AntiSMS. У меня его семпл в запароленном архиве сохранился где-то, только я пароль не помню, но можно по логике попробовать подобрать.

адварь можно на потом оставить или взять совсем небольшое кол-во отобранных вручную: один семпл loadmoney mail.ru, другой - установочник softportal.com со скрытой функцией установки ч-л от мейлру (он не модификация др. версии адваря, тк в случае с конретно этим порталом программа полностью фирменная и есть своя ЦП), другой установочник тулбара, можно без разделения на национальный признак.

На мой взгляд важнее показать именно политику вендоров к таким типам угроз, т.к. о защите от ПНП говорят многие, но не все етектируют русскоязычное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я не случайно написал про динамический тест. Если мы даже насобираем какой-то количество тушек, то что покажет наш тест? Он покажет, что эти старые, мертвые, отстреленные когда-то тушки сейчас детектятся. С практической точки зрения эти знания ни о чем не говорят. Детект может добавиться, но сама атака отработала и этим вирусом уже заразилась куча людей. С тем же успехом можно собрать российские дос-вирусы и на них протестировать.

В общем без динамики это будет тест на полноту коллекции/детекта файлового антивируса, но не реальный тест на качество защиты. Нужно думать, как сделать правильную методологию такого теста.

Если найти стабильные каналы распространения локкеров, то будет проще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
    • Molly01
      Можете воспользоваться специальным сервисом по поиску, достаточно знать хоть какие-то данные. Вот к примеру этот сайт https://bazaperson.ru/gorod/Moskva/ попробуйте, может поможет.
×