Тест антируткитов (результаты) - Страница 2 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Тест антируткитов (результаты)

Автор Сергей Ильин, в Тесты и сравнения

Recommended Posts

vaber    350

vaber
Опубликовано
крутой тест, статья о антируткитах, blacklight на пару с бсодогенератором по имени Darkspy всех уделали

Странные результаты. Как видно не совсем соответствуют тем, что получили мы. Да и методология оценки странная.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Вообще - серьезная организация, исследование получилось масштабное. Мне лично очень понравилась первая половина, где идет описание существующих руткит-технологий, как все это дело работает и масштабов угрозы.

Сами результаты теста (таблички по каждому руткиту), на мой взгляд, выглядят правдоподобно, по крайней мере серьезных отклонений от результатов нашего теста по одни и тем же продуктам я не не нашел.

А вот что касается интерпретации этих результатов, то у меня тут возникают вопросы: какой смысл суммировать результаты по количеству детектированных процессов/файлов/портов?

Хорошо, конечно, если продукт аккуратно вычищает все следы, но руткит или жив или мертв. Если удаления какого-то количества файлов достаточно для деактивации руткита, то ему нужно ставить плюс за этого (с оговоркой конечно), как мы делали в нашем тесте.

Из-за этого у них получились какие-то странные итоговые результаты :?

Добавлено спустя 2 минуты 25 секунд:

Иван, а где ссылочка на "альтернативные результаты" журнала?

Поподробнее их изучить очень хочется :-)

sans_anti_rootkits_test.gif

post-4-1179664089.gif

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

EP_X0FF    15

EP_X0FF
Опубликовано

Тесты, проведенные SANS не просто странные - они бредовые. Серьезная, несерьезная организация это ещё не гарантирует отсутствия дураков в её рядах.

Совершенно бредовые тесты, призванные либо:

1. отпиарить что-то (или кого-то)

2. полить воды на мельницу всеобщей буржуйской паники

А теперь, собственно, вскроем пациента. Берем этот дурацкий pdf. Пропускаем муторную и отставшую от жизни обзорную часть и переходим непосредственно к так называемым "результатам".

Во-первых, для тестирования выбираются далеко не самые новые версии программ, а в случае с нами им удалось откопать первую бету, аж с октября прошлого года, собственно в которой практически ничего ещё и не было. Для сравнения - версия гмера выбранна целенаправленно гораздо новее. Во время первой беты у него была актульна 1.011, если вообще не 1.010

Во-вторых, оценка руткитов по количеству "попаданий" (нашел-не нашел) это вообще полный бред. У некоторых из руткитов в тесте отсутствуют те или иные компоненты.

Китайский, так называемый "софт", не обладая и половиной необходимых возможностей, каким-то образом, во-первых - загрузился (с одним из лидеров - ds это довольно проблематично), во-вторых нашел, то чего в принципе нет.

HaxDoor

Заявлены результаты тестирования, в которых китайские программы и кривой гмер находят скрытые дрова и длл, а мы нет. Полный бред. Даже больше - НАГЛОЕ ВРАНЬЕ. А с DS и Icesword дорогие мои, вообще нужно знать, что искать. Что касается гмера, детект хакдора у него забит константой.

Rustock.B

Здесь господа, проводившие тест, совсем перебрали и выдали великую новость - вместе с lzx32.sys также идет lzx32.exe

Вынужден огорчить господ-тестирующих, у рустока нет процесса. У него есть маленький симпатичный дроппер, который устанавливает руткит и тут же самоудаляется (в теории, но не всегда получается) путем инжекта в explorer. Более того, господа-тестирующие в своем феерическом прологе сами КОНСТАТИРОВАЛИ, что

Rustock is a well-known rootkit popularized to the public

in part by publications from Symantec (Symantec Corp., 2006).

It's special amongst rootkits because it has NO PROCESS.

Так какого Х в таблице делает пункт с процессом lzx32.exe и как это Sophos его нашел? Остается надеятся, что это был все-таки ADS :lzx32.sys, а не процесс. То, что мы его не нашли не удивительно, поддержка NTFS появилась только в RC1.

Что удивительно, что аффтар теста специально включил в него версию Гмера, которая вышла после того как руткит попал к нему в руки и он обошел его антидетект. ИМХО это уже чересчур явное подыгрывание.

В-третих:

Подборка софта и описания аффтара теста. Порадовали очень сильно.

GMER выдвинут как найденный в капусте. Потрясающие возможности сноса всего, что он отдетектирует тоже порадовали. Ну-ну, курите дальше.

RKDetector2 =)))))) Просто закачайте её и посмотрите

http://rkdetector.com, если не забыл

Rootkit Hook Analyzer 2

Вот уж не знал, что он детектирует компоненты скрытых файлов или драйверов. Странно, наверное, когда мы неоднократно априори обходили его, что-то просмотрели.

Ken Dunham - аЦки жжот, пищи исч0

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Иван    290

Иван
Опубликовано

Лично вам Сергей я скан журнала могу прислать, а вот по поводу вывешивать здесь соглашусь с Inkogn

Я не имею права публиковать этот артикль.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано

Да, в этом "тесте" очень много ошибок - версии программ, несуществующие файлы в малварах, обнаружение открытых портов, не учитывается функционал, и - победители - они помогут только тогда, когда точно известно, что и где находится.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Тесты и сравнения

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается. ---------------------------------------------------------
       5.0.RC2
      ---------------------------------------------------------
       o При обнаружении внедренного потока в процессе в лог печатается точное
         время создания потока и ТОП 10 наиболее вероятных виновников.
         (!) Только для потоков не имеющих привязки к DLL.
         (!) Функция требует активного отслеживания процессов. (Твик #39)

       o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
         Теперь выбирается не логический номер монитора, а его порядковый номер,
         что позволяет избежать проблем при обновлении драйверов на видеокарту
         без закрытия окна удаленного рабочего стола.

       o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
         на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
         настройкам системы и системным утилитам.
         Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      uVS - оффтопик

      От PR55.RP55 · Опубликовано

      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
×