Перейти к содержанию
alamor

Тест антируткитов III

Recommended Posts

alamor

Последний тест был в 2010-м году, может AM проведёт свежий тест антируткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. за это время что-то кардинально поменялось?

2. откуда ресурсы на проведение других тестов + еще и этот

3. тест по сути интересен только паре гиков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

1) За четыре года и руткиты и антируткиты обновились, а также появились версии для х64.

2) Отказались от теста от активного заражения, почему бы взамен не провести тест антируткитов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. Имхо, первую тройку как-то между собой поделят PCHunter (бывший xuetr), gmer, vba. Каких-то сенсаций от других антируткитов можно не ждать, наверное...

2. Слово за Сергеем Ильиным :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Согласен насчёт тройки у кого будут лучшие результаты. А вот насчёт того, насколько хорошие результаты будут это вопрос. Тот же Vba32 AntiRootkit уже два года не обновлялся, насколько он актуален сейчас?

Также ещё появился новый антируткит - MBAR ( Malwarebytes Anti-Rootkit).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Меня больше всего волнует состав коллекции. На чем будем тестировать?

Давайте обсудим примерный состав коллекции, что в нее может войти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Думаю за основу можно взять руткиты из теста на активное заражение.

А также хочется, чтобы в тесте был сэмпл Zbot который сейчас распространяется, с драйвером руткита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RBC
Имхо, первую тройку как-то между собой поделят PCHunter (бывший xuetr), gmer, vba.

Первый - скорее всего да, а вот другие два лидера, скорее всего, будут PowerTool и антируткит/антибуткит от битдефендера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
и антируткит/антибуткит от битдефендера.
The Bitdefender Rootkit Remover deals with known rootkits
Rootkit Remover deals easily with Mebroot, all TDL families (TDL/SST/Pihar), Mayachok, Mybios, Plite, XPaj, Whistler, Alipop, Cpd, Fengd, Fips, Guntior, MBR Locker, Mebratix, Niwa, Ponreb, Ramnit, Stoned, Yoddos, Yurn, Zegost and also cleans infections with Necurs (the last rootkit standing). Please note that the list is a bit outdated - new rootkit families are added as they become known.

А на неизвестных ему руткитах/буткитах утилита провалится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если бы в ЛК решили скрестить авз и тдскиллер и еще чуть допилить, то тест был бы с большой такой изюминой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле этот тест во многом повторяет тест на лечение активного заражения. В обоих тестах одна проблема - самплы. Нужно искать что-то новое и интересное, подходящее под нашу методологию. Иначе это будет тест в стиле AV-Test.org, т.е. ни о чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Тест во многом похож, но тестируются другие продукты. На этих семплах (из активного заражения) эти утилиты не тестировались, поэтому можно оставить их и дополнить чем-то ещё. Кроме zbot можно ещё добавить betabot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Кому эти антируткиты нужны вообще, комбаины протестируйте лучше комплексно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vegas

Как раз это обсуждение и открыто, чтобы установить каков будет интерес к тесту. Пока активность в теме невысока

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Тест комбайнов на лечение точно будет более востребован хотя бы в силу заметно большей аудитории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Мне бы был интересен тест, когда например в течение некоторого времени (пол-года например) на идентичных системах, где установлены разные средства защиты, скриптами выполняются одинаковые действия (серфятся сайты (можно по спискам мальваредоменлист например гонять), загружаются и запускаются файлы и т.д.), а по истечению указанного времени подводим итог где насколько заражена система. За это время антивирус пускай по расписанию запускает сканирование, лечит что найдет и т.д. Все действия логировать для последующего анализа, ведь некоторая мальварь может просто сама через некоторое время удалиться, а факт пробития защиты ей желательно отследить все таки. Также раз в неделю можно прогонять все снимки систем через комплексное тестирование антивирусами для подведения промежуточных итогов. Тест сделать на настройках по умолчанию и максимальных. Тестировать комбайны разумеется.

Вот такой тест было бы неплохо увидеть. :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Было бы интересно посмотреть как сейчас обстоят дела :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×