Перейти к содержанию
alamor

Тест антируткитов III

Recommended Posts

alamor

Последний тест был в 2010-м году, может AM проведёт свежий тест антируткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. за это время что-то кардинально поменялось?

2. откуда ресурсы на проведение других тестов + еще и этот

3. тест по сути интересен только паре гиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

1) За четыре года и руткиты и антируткиты обновились, а также появились версии для х64.

2) Отказались от теста от активного заражения, почему бы взамен не провести тест антируткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. Имхо, первую тройку как-то между собой поделят PCHunter (бывший xuetr), gmer, vba. Каких-то сенсаций от других антируткитов можно не ждать, наверное...

2. Слово за Сергеем Ильиным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Согласен насчёт тройки у кого будут лучшие результаты. А вот насчёт того, насколько хорошие результаты будут это вопрос. Тот же Vba32 AntiRootkit уже два года не обновлялся, насколько он актуален сейчас?

Также ещё появился новый антируткит - MBAR ( Malwarebytes Anti-Rootkit).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Меня больше всего волнует состав коллекции. На чем будем тестировать?

Давайте обсудим примерный состав коллекции, что в нее может войти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Думаю за основу можно взять руткиты из теста на активное заражение.

А также хочется, чтобы в тесте был сэмпл Zbot который сейчас распространяется, с драйвером руткита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RBC
Имхо, первую тройку как-то между собой поделят PCHunter (бывший xuetr), gmer, vba.

Первый - скорее всего да, а вот другие два лидера, скорее всего, будут PowerTool и антируткит/антибуткит от битдефендера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
и антируткит/антибуткит от битдефендера.
The Bitdefender Rootkit Remover deals with known rootkits
Rootkit Remover deals easily with Mebroot, all TDL families (TDL/SST/Pihar), Mayachok, Mybios, Plite, XPaj, Whistler, Alipop, Cpd, Fengd, Fips, Guntior, MBR Locker, Mebratix, Niwa, Ponreb, Ramnit, Stoned, Yoddos, Yurn, Zegost and also cleans infections with Necurs (the last rootkit standing). Please note that the list is a bit outdated - new rootkit families are added as they become known.

А на неизвестных ему руткитах/буткитах утилита провалится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если бы в ЛК решили скрестить авз и тдскиллер и еще чуть допилить, то тест был бы с большой такой изюминой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле этот тест во многом повторяет тест на лечение активного заражения. В обоих тестах одна проблема - самплы. Нужно искать что-то новое и интересное, подходящее под нашу методологию. Иначе это будет тест в стиле AV-Test.org, т.е. ни о чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Тест во многом похож, но тестируются другие продукты. На этих семплах (из активного заражения) эти утилиты не тестировались, поэтому можно оставить их и дополнить чем-то ещё. Кроме zbot можно ещё добавить betabot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Кому эти антируткиты нужны вообще, комбаины протестируйте лучше комплексно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vegas

Как раз это обсуждение и открыто, чтобы установить каков будет интерес к тесту. Пока активность в теме невысока

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Тест комбайнов на лечение точно будет более востребован хотя бы в силу заметно большей аудитории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Мне бы был интересен тест, когда например в течение некоторого времени (пол-года например) на идентичных системах, где установлены разные средства защиты, скриптами выполняются одинаковые действия (серфятся сайты (можно по спискам мальваредоменлист например гонять), загружаются и запускаются файлы и т.д.), а по истечению указанного времени подводим итог где насколько заражена система. За это время антивирус пускай по расписанию запускает сканирование, лечит что найдет и т.д. Все действия логировать для последующего анализа, ведь некоторая мальварь может просто сама через некоторое время удалиться, а факт пробития защиты ей желательно отследить все таки. Также раз в неделю можно прогонять все снимки систем через комплексное тестирование антивирусами для подведения промежуточных итогов. Тест сделать на настройках по умолчанию и максимальных. Тестировать комбайны разумеется.

Вот такой тест было бы неплохо увидеть. :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Было бы интересно посмотреть как сейчас обстоят дела :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.3.3700.
    • demkd
      ---------------------------------------------------------
       4.14
      ---------------------------------------------------------
       o Исправлена критическая ошибка при разборе параметров в файлах задач.
         Из-за ошибки uVS мог аварийно завершится без создания дампа.  o Каталог по умолчанию теперь каталог Windows.
         (Для окон выбора каталога).
    • PR55.RP55
      NVIDIA Power Management - приложение с открытым исходным кодом... Для управления настройками электропитания приложение использует System Management Interface. Это утилита командной строки NVIDIA, которая позволяет запрашивать и изменять состояния видеокарт. Инструмент поддерживает графические процессоры NVIDIA Tesla, GRID, Quadro и Titan X, а также может работать с ограничениями с другими видеокартами NVIDIA. NVIDIA Power Management имеет графический интерфейс. Пользователям доступны создание ограничений мощности для отдельных приложений, создание профилей мощности для нескольких приложений, базовый мониторинг производительности, адаптивное энергопотребление и другие функции. https://www.comss.ru/page.php?id=11792 Фактически это не только позволит получать информацию и вести мониторинг. Но и добавить в меню\скрипт uVS новые команды.        
    • PR55.RP55
      Руководство по расследованию атак с использованием CVE-2022-21894 BlackLotus campaign https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/    
    • PR55.RP55
      Думаю стоит добавить твик: [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" ------------------- https://www.comss.ru/page.php?id=11668 Бывают всякие непонятные неясные случаи - возможно это в ряде случаев поможет.
×