Перейти к содержанию
vaber

Тест антируткитов

Recommended Posts

vaber

В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, которые имеют функционал не только обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра).

Вот приблизительный список антируткитов:

antivir_rootkit_beta_3

AVG_antirootkit_1.1.0.29

AVZ 4.23

Bitdefender_antirootkit-BETA2

BlackLight 2.2.1055

Gmer 1.0.12.12027

McAfee Rootkit Detective 1.0.0.41 Beta

Rootkit Unhooker 3.20

Sophos Anti-Rootkit 1.2.2

TrendMicro RootkitBuster 1.6.0.1055 Beta

UnHackMe 4.0

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.

Из руткитов будут использоваться только ITW-образцы.

Вот список вредоносных программ, которые предпологаю использовать в тесте:

Backdoor.Win32.Haxdoor

Backdoor.Win32.Padodor

Monitor.Win32.EliteKeylogger

Monitor.Win32.SpyLantern

Trojan-Spy.Win32.Goldun

Trojan-Clicker.Win32.Costrat

Worm.Win32.Feebs

Если какие-либо замечанидополнения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мое пожелание одно - в AVZ установить AVZPM :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

В частности меня интересуют комментарии по поводу списка антирутктов и зловредов (что можно добавить).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вы смотрели список антируткитов на VirusInfo? ;) Можно оттуда добавить парочку. Зловреды хорошие, противные, упрямые, часто встречающиеся - так что тут без претензий. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

IceSword один из лучших антируткитов которые я видел..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вы смотрели список антируткитов на VirusInfo?

Да, там я смотрел. Только вот возможно пропустил какой-либо подходящий. Поэтому меня и интересуют комменты.

IceSword один из лучших антируткитов которые я видел..

В нем есть функционал удаления (переименования) файлов, ключей реестра или снятию хуков в user и kernel??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
IceSword один из лучших антируткитов которые я видел..

Посмотрим Ж))

В принципе он подходит для теста (детектит перехваты, выделяя цветом драйвер, который потом можно найти и удалить).

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Может имеет смысл протестировать также F-Secure Blacklight?

Хотя многие отзываются о нем не слишком хорошо, но для полноты картины можно было бы добавить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Может имеет смысл протестировать также F-Secure Blacklight?

Он есть в списке - 5 сверху :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, нужно для людей типа alexgr сформулировать до начала теста четкие критерии отбора вредоносов. Почему именно их берем, а не других? Какие методы (классы если говорить о выборке) маскировки своего присутствия они используют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо, в разделе антируткиты.. и сюда бы добавил антируткиты от известных компаний типа McAfee Rootkit Detective и Avira Antivir Rootkit Detection Beta что бы точно знать можно с помощью них хоть что-то личить или нет, а то каждая вторая компания навыпускала и незнаешь кто как работает..

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо,

Я так и делал - но там и много и я еще не пересмотрел все. Поэтому и создал этот топик. Авира есть в списке, Макаффи дабавил.

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

В тесте "активное заражение" использовались антивирусные средства, AVZ там участвовал именно не как утилита, а как антивирусный сканер.

В данном тесте будут тестироваться антируткиты, поэтому в AVZ будет использован весь его функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ну тут тогда я точно уверен, будет 100% из 100% большинство из этих троянов я лично сам удалял..

кстати Олег говорит что возможно в конце недели появиться новая версия, может лучше её поставить в тесты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grnic
В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).

Вот приблизительный список антируткитов:

...

Если какие-либо замечанидополнения?

Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal.B), который не будет детектироваться никем из выше указанного списка программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal.B), который не будет детектироваться никем из выше указанного списка программ.

Я с Вами согласен.

Подборка вредоносов еще ведется.

Что касается Unreal.B - это демо-руткит (в принципе, как и A). В данном тесте же я хочу использовать именно руткит-составляющую в ITW-образцах зловредов.

Не могли бы Вы, если есть информация привести названия зловредов по классификации Касперского, которые используют отличные способы скрытия в системе от приведенных мною образцов? Буду очень благодарен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Добавлю, что в ITW-образцах похоже и нет всех методов скрытия. Да и тест не подразумевает проверить все антируткиты на всех известных методиках скрытия. Тест проводиться для того, что бы показать способность данных антируткитов к обнаружению и обезвреживанию файлов, процессов, ключей реестра, скрытых по руткит методике, чаще всего применяемой в ITW-образцах зловредов.

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.). Хотя может быть я поменяю свое решение Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.)

я считаю это правильно, кому надо пусть сам оценивает проценты и всё остальное вычисляет если надо..

главное информативность теста что бы была..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

А возможен более развернутый ответ. По каким принципам определяется участие или не участие? Причины, почему были забракованы IceSword и SafetyCheck понятны

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

Вот ваши требования к Антируткитам

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.
Насколько я знаю, эта программа позволяет выполнить данные действия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Добавте в тест еще и UnHackMe Pro

Ок, этот антируткит принимается. Версия 4.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Уж и не знаю как вас за это благодарить :)

А если серьёзно, то вы понимаете, что должно быть представлено как можно больше (в разумных пределах) продуктов чтобы найти лучшее.

P.S.

Относительно антируткитов вообще. Посмотрите этот манифест. Интересная вещь. Согласитесь. И тут же относительно требований к Антируткитам

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
      Для активации программы щёлкните правой кнопкой мыши на значок в области уведомлений и выберите в меню пункт «Активируйте программу». Активацию антивируса также можно выполнить, последовательно щёлкнув в главном меню элементы «Справка и поддержка» → «Активация продукта/изменение лицензии» или «Домашняя страница» → «Активировать продукт». Для активации пробной версии нужно выбрать вариант «Лицензия на бесплатную пробную версию», заполнить поля, затем нажать «Активировать». Зарегистрированным пользователям нужно ввести лицензионный ключ, полученный после активации лицензии. При наличии имени пользователя и пароля для домашнего антивируса ESET их можно преобразовать в лицензионный ключ для версии 12.
       
              ESET NOD32 Antivirus 12.0.27 (Windows Vista/7/8/8.1/10, 32-разрядная)
              ESET NOD32 Antivirus 12.0.27 (Windows Vista/7/8/8.1/10, 64-разрядная)
              ESET Internet Security 12.0.27 (Windows Vista/7/8/8.1/10, 32-разрядная)
              ESET Internet Security 12.0.27 (Windows Vista/7/8/8.1/10, 64-разрядная)
              ESET Smart Security Premium 12.0.27 (Windows Vista/7/8/8.1/10, 32-разрядная)
              ESET Smart Security Premium 12.0.27 (Windows Vista/7/8/8.1/10, 64-разрядная)
                                                                   ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 12
              Руководство пользователя ESET Internet Security 12
              Руководство пользователя ESET Smart Security Premium 12 Полезные ссылки:
      Технологии ESET
      Онлайн-справка по продукции ESET
      Удаление антивирусов других компаний
      Стать пользователем антивируса ESET
      Форум российского представительства ESET
      Описание обновлений антивирусных баз
      Утилиты для удаления вредоносных программ
      ESET Online Scanner
      ESET SysRescue Live (диск аварийного восстановления)
      Как удалить антивирус 12-й версии полностью (пользователям Windows)?
      Прислать образец вируса или сообщить о ложном срабатывании*.
      * Чтобы антивирус смог вылечить заражённый файл, нужно отправить такой файл в архиве с паролем «infected» на адрес [email protected] с темой «[virus_name] — cleaner needed», где [virus_name] — название файлового вируса.
    • PR55.RP55
      Зачем эти крайности - хватит и половины команд. Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает. В плане удобства оптимален ? переход от Инфо. к Инфо.  т.е. Есть список файлов. Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо * * ( с учётом фильтра ) по ходу дела принимая решение считать ли файл проверенным, или удалить. Без всех этих метаний.
    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
×