alamor

Тест антируткитов III

В этой теме 17 сообщений

Последний тест был в 2010-м году, может AM проведёт свежий тест антируткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. за это время что-то кардинально поменялось?

2. откуда ресурсы на проведение других тестов + еще и этот

3. тест по сути интересен только паре гиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) За четыре года и руткиты и антируткиты обновились, а также появились версии для х64.

2) Отказались от теста от активного заражения, почему бы взамен не провести тест антируткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Имхо, первую тройку как-то между собой поделят PCHunter (бывший xuetr), gmer, vba. Каких-то сенсаций от других антируткитов можно не ждать, наверное...

2. Слово за Сергеем Ильиным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Согласен насчёт тройки у кого будут лучшие результаты. А вот насчёт того, насколько хорошие результаты будут это вопрос. Тот же Vba32 AntiRootkit уже два года не обновлялся, насколько он актуален сейчас?

Также ещё появился новый антируткит - MBAR ( Malwarebytes Anti-Rootkit).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Меня больше всего волнует состав коллекции. На чем будем тестировать?

Давайте обсудим примерный состав коллекции, что в нее может войти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю за основу можно взять руткиты из теста на активное заражение.

А также хочется, чтобы в тесте был сэмпл Zbot который сейчас распространяется, с драйвером руткита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Имхо, первую тройку как-то между собой поделят PCHunter (бывший xuetr), gmer, vba.

Первый - скорее всего да, а вот другие два лидера, скорее всего, будут PowerTool и антируткит/антибуткит от битдефендера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и антируткит/антибуткит от битдефендера.
The Bitdefender Rootkit Remover deals with known rootkits
Rootkit Remover deals easily with Mebroot, all TDL families (TDL/SST/Pihar), Mayachok, Mybios, Plite, XPaj, Whistler, Alipop, Cpd, Fengd, Fips, Guntior, MBR Locker, Mebratix, Niwa, Ponreb, Ramnit, Stoned, Yoddos, Yurn, Zegost and also cleans infections with Necurs (the last rootkit standing). Please note that the list is a bit outdated - new rootkit families are added as they become known.

А на неизвестных ему руткитах/буткитах утилита провалится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если бы в ЛК решили скрестить авз и тдскиллер и еще чуть допилить, то тест был бы с большой такой изюминой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самом деле этот тест во многом повторяет тест на лечение активного заражения. В обоих тестах одна проблема - самплы. Нужно искать что-то новое и интересное, подходящее под нашу методологию. Иначе это будет тест в стиле AV-Test.org, т.е. ни о чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тест во многом похож, но тестируются другие продукты. На этих семплах (из активного заражения) эти утилиты не тестировались, поэтому можно оставить их и дополнить чем-то ещё. Кроме zbot можно ещё добавить betabot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кому эти антируткиты нужны вообще, комбаины протестируйте лучше комплексно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как раз это обсуждение и открыто, чтобы установить каков будет интерес к тесту. Пока активность в теме невысока

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тест комбайнов на лечение точно будет более востребован хотя бы в силу заметно большей аудитории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне бы был интересен тест, когда например в течение некоторого времени (пол-года например) на идентичных системах, где установлены разные средства защиты, скриптами выполняются одинаковые действия (серфятся сайты (можно по спискам мальваредоменлист например гонять), загружаются и запускаются файлы и т.д.), а по истечению указанного времени подводим итог где насколько заражена система. За это время антивирус пускай по расписанию запускает сканирование, лечит что найдет и т.д. Все действия логировать для последующего анализа, ведь некоторая мальварь может просто сама через некоторое время удалиться, а факт пробития защиты ей желательно отследить все таки. Также раз в неделю можно прогонять все снимки систем через комплексное тестирование антивирусами для подведения промежуточных итогов. Тест сделать на настройках по умолчанию и максимальных. Тестировать комбайны разумеется.

Вот такой тест было бы неплохо увидеть. :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Было бы интересно посмотреть как сейчас обстоят дела :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее