Перейти к содержанию
Serg-ru

Тест добросовестности и качества детекта

Recommended Posts

Мутный
зачем нужно настраивать антивирус?

Отличный вопрос, объясню для чего это может-быть нужно, НО сразу скажу мой пост направлен для более-менее грамотный пользователей АВ, т.к. изменения настроек может как "повысить" защиту, так и "понизить её", итак:

1)Как Вы знаете, многие антивирусы уже имеют дефолтные настройки, которые обычно разработаны для более "Оптимальной" защиты, НО есть пользователи которым нужно/хочется "повысить" свою защиту, ну или идут конфликты с софтом и из-за этого приходятся менять эти настройки...

Приведу пример Доктора Веба, этот пример взят т.к. он у меня сейчас стоит, также в этом посте приведу пример Оутпоста и почему я от него отказался, пример тоже не для того что-бы сделать вывод о качестве продуктов, а просто рассуждения из личного опыта...

Разработчики подключайтесь к обсуждению, может я в чём не прав ?

Итак Доктор Веб идёт с дефолтными настройками, где он постоянно блокирует доступ к файлу "Hosts", ну многие скажут блокирует и блокирует, молодец...

Ан-нет, нужно-было мне поднять сайт на OpenServer, так доктор меня "Задолбал" блокировками хоста, пришлось этот хост добовлять в исключения сканера + отключать блокировку в "проактивной защите"....

Это-был негативный пример, теперь позитивный, как я повысил защиту:

Я никогда не люблю когда программа решает за меня, например файервол, у многих АВ есть автоматическое создание правил, я-же хочу получить ПОЛНЫЙ контроль за софтом который выходит в сеть, неважно есть у него ЦП или нет, ну нужно мне это...

Перевод в "Интерактивный" режим повысил защиту...

Т.к. не редко имею дело с вирусами, поэтому для подстраховки запретил добовление программы в автозагрузку, сделал запрет на создание сервисов и т.д. Тоже повысил уровень защиты...

Так не нужно делать в большинстве случаев, это как пример, почему я считаю что защита должна давать возможность гибкой настройки...

Тепрерь про Оутпост: Программа мне ОЧЕНЬ нравится, куча важных и нужных настроек, в том-числе и сканера...

НО у меня возникла проблема, что у них настройки файервола и проактивной защиты в одном модуле, объясняю что я имею в виду:

Мне нужно что-бы "файервол" реагировал на ВСЕ приложения, которые хотят получить доступ в сеть, ОДНАКО "проактивная защита" создавала правила автоматически, а там у них либо создания правил автоматически для "проактивной защиты" и "файервола", либо будут задавать вопросы оба эти модуля...

Понятно что это может нужно-то только мне, однако например в Comodo можно такое реализовать, в Докторе кстати тоже можно...

Ещё раз повторюсь все примеры сугубо из личного опыта, какие-то выводы о продуктах по ним делать нельзя !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Вот например, если в результате тестов будет доказано что вода вредит здоровью, то ведь многие откажутся покупать такую воду-так ?

Неа, не так. Во-первых, ну вот кто читает результаты тестов минеральной/артезианской воды, которую покупает в магазине? Кто их ищет? Просто верят производителя и покупают с полки. Да и, если что, производитель скажет во всю мощь пиар-отдела компании: "грязные инсинуации кучки завистников, проплаченных конкурентами"- и, в общем, за сим усё.

Ну и ещё многое зависит от тестирующей организации, если Вася Пупкин провёл тест и сказа "Данная вода вредна", то разумеется все посмеются "Кто такой этот Вася Пупкин ?", а вот если в качестве тестирующей организации будет уважаемая, сертифицированная организация, то-да тогда такой тест уже будет сильно значить для людей...

Угу, только вот засада: те, кто тестируют интересно и в максимально полном объёме- не очень известны и не особо "уважаемы", а те, кто "уважаем" и известен- тестируют абы что и абы как, потому что и так бизнес хорошо идёт, зачем идти на дополнительные издержки ради не пойми чего? Virus Bulletin хочет сделать динамический тест где-то с 2010 года, сейчас практически 2015, и, к сожалению, мы таки до сих пор ждём результаты динамического теста от Virus Bulletin.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ладно, хватит философию разводить :) Все это по сто раз уже терто-перетерто, если не хотите чтоб ваша тема переросла в оффтоп и ругань, то сами к этому не подталкивайте. Хотите про продажу - создавайте отдельную тему и там трясите Илью на этот счет (я сам не понимаю как у него получается что-то продавать без рекламы).

Про тесты мне самому интересно - насколько их результаты влияют на продажи домашним пользователям.

Хотите небольшой тест? Берите какую-то категорию зловредов и гоняйте. Желательно чтоб она была на слуху (актуальна), относительно однотипна (чтоб не нужен был большой набор).

Еще можно тестировать определенные действия - брать зловредов с ним или кодить самим.

Наоборот: брать некую экзотику, но тогда это скорее будет исследование пополам с тестированием.

PS: сам тест этот (имхо, конечно) даже при сильном желании особо не обсудить - вопросов особых не возникает, про улучшение сказали уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
сразу скажу мой пост направлен для более-менее грамотный пользователей АВ

зачем грамотному пользователю антивирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Грамотным в инфобезе пользователям запрещено интересоваться антивирусами? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
Грамотным в инфобезе пользователям запрещено интересоваться антивирусами? :huh:

Пользуйтесь на здоровье. :) Я лишь пытаюсь увидеть как путь умозаключений, приведший к такому тесту, так и найти смысл этого теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
зачем грамотному пользователю антивирус?

Пока мой младший киндер не съедет на отдельную квартиру у меня будет стоять антивирус

Я ответил на вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный
Я лишь пытаюсь увидеть как путь умозаключений, приведший к такому тесту, так и найти смысл этого теста.

Мы хотели немножко обратить внимание на технологии АВ...

Вот я прочитал топик про "Кража детектов АВ", потратил минут наверное двадцать, что можно почерпнуть из того топика например ?

А-то что есть АВ так сказать лидеры, а есть явно уступающие им в технологиях, однако позиционирующие себя как супер-пупер...:)

Меня всегда интересовали технологии, да и не только АВ, ну и вирусов...

Так вот если говорить про технологии АВ, то тут они очень разнятся, я не смею классифиццировать технологии АВ, т.к. сразу скажу что мыслю как пользователь, который изучал АВ снаружи но не внутри, т.е. то-что внутри я не знаю, но делаю анализ то-что вижу снаружи, итак:

1)Первый тип АВ, построен на "Облаках", т.е. детекты по репутации и прочее (Это очень примитивное описание, разумеется там есть и другие эллементы, но основной акцент "Облака"):

Ну разумеется имеются неоспоримые плюсы этой технологии, а именно точный детект зловреда, быстрота работы, быстрая реакция на эпидемии и т.д и т.п.

Есть-ли минусы у этой технологии ?

Да-хоть отбовляй:

1.Что если нет доступа к облаку, ну вот ситуация нет облака, что тогда ?

2.Вирус может иметь ЦП и отличную репутацию в облаке ?

Да разумеется, вот пример:http://habrahabr.ru/post/238495/

3.Что если пользователь/компания нехочит ничего пересылать в "Облака" с точки зрения конфиденциальности ?

2)Второй тип АВ:Построен на так называемой "Проактивной защите", или "Песочницы":

Разумеется как и в первом типе АВ, тут используется всё в комплексе, есть и "Облако", но основной акцент делается на "Проактивной защите"

Какие плюсы:

1.БОльший контроль пользователем над "Активностью" системы/программ;

2.Может обнаружить, новые и неизвестные угрозы;

3.Может обнаружить угрозы направленные на конкретную систему

Есть-ли минусы ?

Да опять-же хоть отбовляй:

1.Может слишком напрягать пользователя;

2.Могут быть конфликты со сторонним ПО;

3.Разумеется есть способы обхода... :)

3)Третий тип, основан на так-называемом "Поведенчиском детекте", т.е. ловим по поведению

Опять-же повторюсь что и у этого типа может-быть и "Проактивная защита" и "Облака", но акцент на поведении...

Какие плюсы:

1.Может ненапрягать пользователей ненужными вопросами;

2.Может детектить новые неизвестные вирусы...

Есть-ли минусы ?

Да опять-таки вогон:

1.Могут-быть ложные срабатывания;

2.Немного замедляет работу ПК;

3.Возможно обойти !

Это так преблизительный и примитивный анализ технологий !:)

К чему эта вся писанина спросите Вы ?

А к тому-что наш тест, это МАЛЕНЬКАЯ попытка привлечь внимание и обсудить технологии АВ, на сколько людям это интересно и на сколько все готовы обсуждать, вопрос ?

Лично для меня это как хобби, я не безопасник и не работаю в сфере ИБ !

Надеюсь мой пост понятный и понятно что я хотел сказать ! ;)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Нехотелось-бы что-бы тема/тесты перерастали в "Опускание" какого-то отдельного вендора и наоборот "Восхваление" другова...

Должна-быть методика раз, тестить нужно основные бренды, т.е. не 1-2 антивируса, а хотя-бы десять самых популярных, что-бы можно было сравнить результаты и обсудить...

Раз-уж по нашему тесту вопросов практически не у кого нет, либо просто нехотите задавать, то немогу сдержаться и разведу оффтоп priv8v, простите меня пожалуйта, гы-гы.. :)

Итак, раз-уж здесь на форуме присутствуют безопасники, ну-либо разработчики систем безопасности, хочу задать пару вопросов, которые меня давно уже интересуют, но на профильных форумах я такие вопросы не задавал:

1)На сколько важен сейчас сигнатурный детект + эвристика, многие говорят фуу, это устарело, гамно и т.д., однако никто из АВ так и не отказался от них, скажу более знаю что в некоторых местах только сигнатурный дететкт и используется в АВ, имею в виду что из-за тормозов, конфликтов ПО или прочих причин отключаются практически все элементы, кроме сканера...

2)Какое будущее по Вашему мнению у антивирусов на десктопах, да и вообще у антивирусов ?

Объясню что я имею в виду: Эра винды по моему мнению проходит, на предприятиях в серьёз обсуждают сейчас уход от винды в сторону различных сборок Линукс или nix систем, да и у домашних пользователей не всё так гладко, ведь тот-же Ubuntu сейчас легко развернуть на десктопе, даже в некоторые игры можно спокойно поиграть...

Кодить под Линукс сейчас тоже нетак-уж и сложно... ;)

Это я к тому что, если брать корпоративный сегмент, пока-ещё да винда много-где есть, есть вирусы на мобильниках (Андройд) и их много...

Но что будет лет-так через 3-5 вопрос и нужны-ли будут АВ ?

Другое дело что всегда будут нужны люди, которые смогут настроить систему и обеспечить безопасность этой системе, т.е. услуги по ИБ по моему мнению будут нужны всегда ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
1)На сколько важен сейчас сигнатурный детект + эвристика, многие говорят фуу, это устарело, гамно и т.д., однако никто из АВ так и не отказался от них, скажу более знаю что в некоторых местах только сигнатурный дететкт и используется в АВ, имею в виду что из-за тормозов, конфликтов ПО или прочих причин отключаются практически все элементы, кроме сканера...

Он нужен как средство очистки уже заражённых систем (при установке средства защиты на заражённый ПК, например). Ну а то, что "устарело"... Скорее, просто иные технологии предотвращения заражения показывают значительно более высокую эффективность при меньших затратах ресурсов вендора.

2)Какое будущее по Вашему мнению у антивирусов на десктопах, да и вообще у антивирусов ?

У антивирусов? Никаких. Этот сегмент у вендоров уходит в небытие, потому что продвигать и продавать средства комплексной защиты намного более прибыльно, у них прибавочная стоимость выше при равных расходах на раскрутку.

Что же насчёт всяких там "Никсов" на десктопах... Ну, а это ничего, что на Виндах сейчас крутиться софта на миллионы и миллионы (а может, и миллиарды!) человека-часов и многое придётся переписывать с нуля? Вы лично готовы оплатить сии расходы производителям коммерческого ПО? Ну, или хотя бы пере-разработку с нуля WinCC Сименсу? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Что же насчёт всяких там "Никсов" на десктопах... Ну, а это ничего, что на Виндах сейчас крутиться софта на миллионы и миллионы (а может, и миллиарды!) человека-часов и многое придётся переписывать с нуля? Вы лично готовы оплатить сии расходы производителям коммерческого ПО? Ну, или хотя бы пере-разработку с нуля WinCC Сименсу? :)

Согласен с тобой. Это всё рассуждения в пользу бедных. Слышали мы уже миллион раз про победное шествие *nix'ов на десктопы. Даже следуя законам квантовой физики этого не случилось ни в одной из параллельных вселенных :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Итак, раз-уж здесь на форуме присутствуют безопасники, ну-либо разработчики систем безопасности, хочу задать пару вопросов, которые меня давно уже интересуют, но на профильных форумах я такие вопросы не задавал:

1)На сколько важен сейчас сигнатурный детект + эвристика, многие говорят фуу, это устарело, гамно и т.д., однако никто из АВ так и не отказался от них, скажу более знаю что в некоторых местах только сигнатурный дететкт и используется в АВ, имею в виду что из-за тормозов, конфликтов ПО или прочих причин отключаются практически все элементы, кроме сканера...

2)Какое будущее по Вашему мнению у антивирусов на десктопах, да и вообще у антивирусов ?

Поделюсь моим личным мнением:

1. Остается важен и останется важным по одной простой причине - нужно знать что именно мы обнаружили. Если не этот простой факт, то давно бы уже работала одна эвристика. Другое дело, что сигнатуры сигнатурам рознь. Можно тупо детектировать каждый семпл, а можно делать сигнатуры на семейства или поведенческие сигнатуры выпускать. Так что сигнатуры никуда не уходят, они просто становятся другими.

2. Будущее неважное. Антивирус перестает быть центральным и главным элементом безопасности ПК. Игру ведут производители ОС, Windows уже не является тем решетом, что было в эпоху XP. Microsoft проделал большую работу и это дает эффект. ИМХО антивирус теперь нужно фактически для страховки. Нагрузка на него на Windows 7 и выше становится минимальной. Какой-то есть и ладно. Бесплатного вполне уже достаточно многим. Поэтому вендоров не ждет ничего хорошего, если они не будет меняться вместе с рынком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Бесплатного вполне уже достаточно многим

В эпоху ХР было иначе, а с приходом Win8 все послезали с платного и перешли на бесплатный?

Антивирус перестает быть центральным и главным элементом безопасности ПК. Игру ведут производители ОС, Windows уже не является тем решетом, что было в эпоху XP. Microsoft проделал большую работу и это дает эффект. ИМХО антивирус теперь нужно фактически для страховки.

Все это стало защищеннее только с точки зрения возможностей укоренения в системе (поставки дров, правки mbr и т.д), а все остальные функции малварь делает и особо не стесняется. Средняя грамотность юзеров что ли выросла? Да вряд ли. Будут дальше если МС с секьюрностью мудрить, то зловреды вообще будут только легальными методами работать. Практически все бизнес-модели можно реализовывать с минимальными правами в системе (винлок, шифровка файлов, ддос, рассылка спама, кража паролей, майнинг, показ рекламы).

Может изменятся маркетинговые войны и антивирусы обрастут еще каким-то функционалом, но свою суть - говорить хозяину: "Вот этот файл плохой, его не трогай, я его в карантин положу" они не изменят.

имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В эпоху ХР было иначе, а с приходом Win8 все послезали с платного и перешли на бесплатный?

В Windows 8 встроен бывший MSE. Его нельзя назвать продвинутым, но он нужен больше для подстраховки.

Все это стало защищеннее только с точки зрения возможностей укоренения в системе (поставки дров, правки mbr и т.д), а все остальные функции малварь делает и особо не стесняется.

Уязвимостей меньше стало с внедрением SDL в процесс разработки нового ПО. Cуществующие патчатся централизовано ставятся для всего ПО от Microsoft, что также снижает поверхность возможных атак. Часть говнософта на Windows 8 можно вообще не ставить. Например, Adobe Reader не нужен, в Windows 8 встроен свое средство просмотра. Ну и так далее. Таким образом, общая защищенность системы многократно выше. Я уже не говорю даже про встроенные в ОС фичи типа UAC, ASLR, SEHOP, доверенная загрузка или AppLocker.

ИМХО именно поэтому смещается и вектор атаки. Становится эффективнее юзать социальную инженерию или тупо шифровать файлы и вымогать потом деньги. От последнего никакой классический антивирус не поможет. Индустрия грустно разводит руками. Только в этом году появилась хоть какая-то защита у ЛК и Доктора от этого.

Может изменятся маркетинговые войны и антивирусы обрастут еще каким-то функционалом, но свою суть - говорить хозяину: "Вот этот файл плохой, его не трогай, я его в карантин положу" они не изменят.

Согласен, именно так и будет. Белые списки, контроль приложений + всякие примочки, которые пока еще не сделали в Microsoft или Google. Но все это грустно, стратегически инициатива перешла к производителям ОС, как оно и должно было быть с самого начала.

У нас было в свое время опубликовано сравнение функций защиты Windows XP и Windows 8 http://www.anti-malware.ru/compare/Compari...and_Windows_8_1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный
Что же насчёт всяких там "Никсов" на десктопах... Ну, а это ничего, что на Виндах сейчас крутиться софта на миллионы и миллионы (а может, и миллиарды!) человека-часов и многое придётся переписывать с нуля? Вы лично готовы оплатить сии расходы производителям коммерческого ПО? Ну, или хотя бы пере-разработку с нуля WinCC Сименсу? smile.gif

Ну а почему-бы не создать свою SCADA и не платить какому-то Сименсу ? ;)

Знаю я людей которые силами небольшой команды (Пять человек) в Советское время как раз и создали свою SCADA-систему, сейчас эта система используется не на последнем предприятии, где необходима максимальное аварийноустойчивость и надёжность...

Другое дело что эта SCADA котороя у них получилось жутко узконаправлена и уже морально и физически устарела, где-то в других местах её использовать уже нельзя...

Хочу немного сказать про эти SCADA-системы, по заверениям "Старожил" кто работает в этой области, в советское время у многих-был бзик "А давайте создадим свою SCADA", ну создали и что ?

В этоге всё это узконаправленно, а из-за обстановки в нашей стране, многое перестало развиваться и совершенствоваться и в этоге все эти системы успользуются на узкозпециализированных предприятиях и хрен-их куда уже продашь ! :(

Сейчас-же похожая картина, в связи с санкциями многие отрасли говорят "А давайте создадим свою ОС", причём под ОС понимается сборка Линукс со специфическим софтом, но опять-же всё будет узконаправленно и использовать где-то за пределами отраслей будет невозможно...

А так как создать свою SCADA, так-же как и отказаться от винды промышленному сектору по моему мнению релально, по следующим причинам:

1)Наши заводы в большинстве, это оборудование с советских времён и всё-равно если что-то обновлять это нужно либо создавать с нуля, либо закупать из-за рубежа, а там санкции... :)

Да даже если санкций небыло-бы, много придётся самим переделывать состыковывать и т.д.

Тут два выхода по моему мнению, если говорить про софт:

1.Писать и делать софт кроссплатформенным, тогда будет в целом совместимость в системе;

2.Либо писать софт конкретно по никсы, без кроссплатформенности ибо так даже легче...

2)Вторая причина - Это санкции, если раньше был главный лозунг "На западе лучше, зачем изобретать то что уже изобретено ?", то сейчас подход немножко меняется, к чему это приведёт, посмотрим ?

Но уже сейчас та-же нефтянка, газ задумались об импортозамещении обородывания...;)

Что касается "Домашнего сегмента", тут просто привычка, вот чем та-же Windows 8.1 лучше Debian ?

Да в 8-ке можно поиграть, да там больше софта, да она привычней...

Но вот лучше-ли она по другим параметрам вопрос ?

Если говорить про оффисных сотрудников, то спокойно можно пересадить на Линукс, почти всё есть:Оффис есть, Интернет есть, есть WINE-эмулятор где какой-то софт можно запустить там...

Плохо конечно что для Линукса нет специфичного софта, типо там AutoCad и прочее, ну думаю это дело времени... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Плохо конечно что для Линукса нет специфичного софта, типо там AutoCad и прочее, ну думаю это дело времени... :)
Вы уверены в этом факте? ))) что нет аналога AutoCAD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А так как создать свою SCADA, так-же как и отказаться от винды промышленному сектору по моему мнению релально, по следующим причинам:

О, никаких проблем. Вы готовы, я надеюсь, на то, что цены на промышленные и иные товары вырастут в три-четыре раза при сохранении размеров зарплат? Потому что оплата перевода компьютеров с Винду на другую ОС, равно как замена и переписывание всего ПО, что там крутиться, бизнесом будет производиться из вашего кармана. И не прилетит вдруг волшебник в голубом вертолёте. И бесплатного кина тоже не будет. Я предлагаю со всеми этими вещами заканчивать, потому что: (а) рынок своё слово сказал, и это слово "нет", (б) тема явно скатывается в оффтопик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Если говорить про оффисных сотрудников, то спокойно можно пересадить на Линукс, почти всё есть:Оффис есть, Интернет есть, есть WINE-эмулятор где какой-то софт можно запустить там...

Пересадить то их можно куда угодно и на что угодно (главное - чтобы там был пасьянс Косынка), но технических проблем будет туча. Мелких проблем, типа подключения старого принтера X, стыковки с чем-то там Y и поддержки чего-то там Z (например, корпоративного софта существует великое множество, если в фирме есть свои программисты, таковой софт будет плодиться и множиться со страшной скоростью ... я например сам в свою бытность наштамповал более сотни АРМ, некоторые до сих пор работают, хотя прошло много лет - и переписать тучу АРМ или адаптировать это под другую операционку не так просто, как кажется). А если прибавить то, что в Линуксе техподдержки чуть меньше, чем нуль, получится, что разгребание всех проблем (и получение всех тумаков) свалится на того, кто это внедрял :) А далее это неизбежно потянет за собой то, что описал Илья Рабинович - и окажется, что иной раз "бесплатное решение" дороже платного. С точки зрения безопасности аналогично - нет разницы, будет юзер сидеть под админом в Windows или рутом в Linux и запускать все подряд не глядя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Хэши всякие нужны, хэши всякие важны...)) оптимизация, смарт, etc, наверно никак без хэшей?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный
Хэши всякие нужны, хэши всякие важны...)) оптимизация, смарт, etc, наверно никак без хэшей?)

Может-быть, но мне кажется ненормально когда после изменения пары байт слетает детект у каждого третьего вируса...

Кстати хочу отметить важное замечание по тесту, детект слетал У ВСЕХ АНТИВИРУСОВ, у каких-то процент больше, у каких-то меньше, просто я глянул график, там у нода чуть-ли не 0-ль %, это нетак, просто процент слёта очень маленький, но он есть...

Что может означать большой процент слёта детекта ?

По моему мнение две вещи (Отдельно, либо в комплексе):

1)Нетехнологичность сканера;

2)Заточку АВ под тесты.

В общем-то на это мы и хотели обратить внимание и обсудить ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
1)Нетехнологичность сканера;

2)Заточку АВ под тесты.

1. как положили сигнатуры, так и детектируется.

2. вряд ли.

3. я бы добавил, что у многих роботы клепают сигнатуры поверх упаковщиков, даже поверх upx. Распаковка, перепаковка = снятие детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×