Тест антируткитов

[vaber 350]

В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, которые имеют функционал не только обнаружения присутствия руткита в системе, но и его обезвреживания (удаление/переименование файлов, удаление/переименование ключей/разделов реестра).

Вот приблизительный список антируткитов:

antivir_rootkit_beta_3

AVG_antirootkit_1.1.0.29

AVZ 4.23

Bitdefender_antirootkit-BETA2

BlackLight 2.2.1055

Gmer 1.0.12.12027

McAfee Rootkit Detective 1.0.0.41 Beta

Rootkit Unhooker 3.20

Sophos Anti-Rootkit 1.2.2

TrendMicro RootkitBuster 1.6.0.1055 Beta

UnHackMe 4.0

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.

Из руткитов будут использоваться только ITW-образцы.

Вот список вредоносных программ, которые предпологаю использовать в тесте:

Backdoor.Win32.Haxdoor

Backdoor.Win32.Padodor

Monitor.Win32.EliteKeylogger

Monitor.Win32.SpyLantern

Trojan-Spy.Win32.Goldun

Trojan-Clicker.Win32.Costrat

Worm.Win32.Feebs

Если какие-либо замечанидополнения?

[Николай Головко 70]

Мое пожелание одно - в AVZ установить AVZPM

[vaber 350]

В частности меня интересуют комментарии по поводу списка антирутктов и зловредов (что можно добавить).

[Николай Головко 70]

Вы смотрели список антируткитов на VirusInfo? Можно оттуда добавить парочку. Зловреды хорошие, противные, упрямые, часто встречающиеся - так что тут без претензий.

[Ego1st 95]

IceSword один из лучших антируткитов которые я видел..

[vaber 350]

Вы смотрели список антируткитов на VirusInfo?

Да, там я смотрел. Только вот возможно пропустил какой-либо подходящий. Поэтому меня и интересуют комменты.

IceSword один из лучших антируткитов которые я видел..

В нем есть функционал удаления (переименования) файлов, ключей реестра или снятию хуков в user и kernel??

[Ego1st 95]

http://www.securitylab.ru/analytics/270346.php

[vaber 350]

IceSword один из лучших антируткитов которые я видел..

Посмотрим Ж))

В принципе он подходит для теста (детектит перехваты, выделяя цветом драйвер, который потом можно найти и удалить).

Спасибо.

[Сергей Ильин 1538]

Может имеет смысл протестировать также F-Secure Blacklight?

Хотя многие отзываются о нем не слишком хорошо, но для полноты картины можно было бы добавить.

[vaber 350]

Может имеет смысл протестировать также F-Secure Blacklight?

Он есть в списке - 5 сверху

[Сергей Ильин 1538]

vaber, нужно для людей типа alexgr сформулировать до начала теста четкие критерии отбора вредоносов. Почему именно их берем, а не других? Какие методы (классы если говорить о выборке) маскировки своего присутствия они используют?

[Ego1st 95]

vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо, в разделе антируткиты.. и сюда бы добавил антируткиты от известных компаний типа McAfee Rootkit Detective и Avira Antivir Rootkit Detection Beta что бы точно знать можно с помощью них хоть что-то личить или нет, а то каждая вторая компания навыпускала и незнаешь кто как работает..

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

[vaber 350]

vaber я бы на твоём месте всё таки пошерстилбы на вирусинфо,

Я так и делал - но там и много и я еще не пересмотрел все. Поэтому и создал этот топик. Авира есть в списке, Макаффи дабавил.

ещё хотелось бы узнать как всё-таки будет тестироваться AVZ как и в прошлом тесте или нет, это всё таки больше ручной инструмент, написание скриптов а их там уйма вариантов, будут ли включаться AVZGuard/AVZPM/BootCleaner и т.д...

В тесте "активное заражение" использовались антивирусные средства, AVZ там участвовал именно не как утилита, а как антивирусный сканер.

В данном тесте будут тестироваться антируткиты, поэтому в AVZ будет использован весь его функционал.

[Ego1st 95]

ну тут тогда я точно уверен, будет 100% из 100% большинство из этих троянов я лично сам удалял..

кстати Олег говорит что возможно в конце недели появиться новая версия, может лучше её поставить в тесты..

[grnic 0]

В ближайшее время собираюсь провести тест антируткитов.

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).

Вот приблизительный список антируткитов:

...

Если какие-либо замечанидополнения?

Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal., который не будет детектироваться никем из выше указанного списка программ.

[vaber 350]

Отобранные самплы не отражают всего спектра методов скрытия, уж лучше тестировать на детект разных _методов_ скрытия и, соответственно, подбирать самплы. Например, существует метод (и он будет реализован, вероятно, в Unreal., который не будет детектироваться никем из выше указанного списка программ.

Я с Вами согласен.

Подборка вредоносов еще ведется.

Что касается Unreal.B - это демо-руткит (в принципе, как и A). В данном тесте же я хочу использовать именно руткит-составляющую в ITW-образцах зловредов.

Не могли бы Вы, если есть информация привести названия зловредов по классификации Касперского, которые используют отличные способы скрытия в системе от приведенных мною образцов? Буду очень благодарен.

[vaber 350]

Добавлю, что в ITW-образцах похоже и нет всех методов скрытия. Да и тест не подразумевает проверить все антируткиты на всех известных методиках скрытия. Тест проводиться для того, что бы показать способность данных антируткитов к обнаружению и обезвреживанию файлов, процессов, ключей реестра, скрытых по руткит методике, чаще всего применяемой в ITW-образцах зловредов.

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

[Latin 5]

vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

[Сергей Ильин 1538]

vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

[vaber 350]

vaber, а как будет оцениваться эффективность работы антируткитов? По детектированию присутствия руткита или по его полному удалению из системы?

Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.). Хотя может быть я поменяю свое решение Ж)

[Ego1st 95]

Сергей, я скорее всего никак не буду оценивать антируткиты. Я просто буду заносить результаты в таблицу (удалено все; не удален тот-то; удалены не все, но остальные не активны; остался активным такой-то файл; не обнаружены скрытые файлы и т.п.)

я считаю это правильно, кому надо пусть сам оценивает проценты и всё остальное вычисляет если надо..

главное информативность теста что бы была..

[vaber 350]

vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

[Latin 5]

vaber

Добавте в тест еще и UnHackMe Pro

Вотофициальная страничка.[/url]

Эта программа в тесте не будет использоваться.

А возможен более развернутый ответ. По каким принципам определяется участие или не участие? Причины, почему были забракованы IceSword и SafetyCheck понятны

З.Ы. IceSword v1.20 и SafetyCheck 1.6 Beta не будут использоваться в тесте.

Сафити - может только завершать процессы и снимать перехваты SDT

Айсворд - не показывает руткита - то есть не выделяет его цветом и никак не выдает, что файл скрыт. Если не знать имени файла руткита, то от других файлов он не даст его отличить.

Вот ваши требования к Антируткитам

Задача антируткита - обнаружить, удалить (или сделать возможным ручное удаление) файлы, ключи реестра - сделать вредоноса неработоспособным.

Насколько я знаю, эта программа позволяет выполнить данные действия.

[vaber 350]

Добавте в тест еще и UnHackMe Pro

Ок, этот антируткит принимается. Версия 4.0

[Latin 5]

Уж и не знаю как вас за это благодарить

А если серьёзно, то вы понимаете, что должно быть представлено как можно больше (в разумных пределах) продуктов чтобы найти лучшее.

P.S.

Относительно антируткитов вообще. Посмотрите этот манифест. Интересная вещь. Согласитесь. И тут же относительно требований к Антируткитам

Антируткиты будут использоваться только те, который в состаянии удалить файлы зловреда (или его руткит части).