Перейти к содержанию
Сергей Ильин

Тест на лечение активного заражения VII (подготовка)

Recommended Posts

Сергей Ильин

Тестирование завершено, результаты готовятся к публикации на этой неделе. Сюрпризов немного, но они есть. Расклад интересный получается ;)

  • Upvote 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Где? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Где?

 

На этой неделе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Слава очень ждал ваш ответ и он теперь спокоен как слон :beer:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

На этой неделе.

 

 

Ну, часов 5 ещё есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Ну может не выйдет на этой неделе. Или очень занятый допиливанием документа автор выложит его в 5 утра только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нам помнится, вороне,

А может быть, собаке,

А может быть, корове

Однажды повезло.

Прислал ей кто-то сыра

Грамм, думается, двести,

А может быть, и триста,

А может, полкило.

На ель она взлетела,

А может, не взлетела,

А может быть, на пальму

С разбега взобралась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы.
 

Ради интереса, а тут спецы для всех антивирусов знают, какая галочка может соответствовать "startup scan"? Скажем у Др.Веб это "поиск руткитов", у AVG - ещё что-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Результаты опубликованы http://www.anti-malware.ru/malware_treatment_test_2015

 

Обсуждение здесь http://www.anti-malware.ru/forum/index.php?showtopic=29997

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михалыч71

Вы лучше скажите сколько бабла вам отваливает Касперский, за то что он у вас всегда на первом месте, тогда как в других тестах он среднячок... :) Ничего в России не меняется, плати бабло и будешь в шоколаде.... Вы хоть раз честно пытались провести тест.. Над вами все ржут, тестировщики хреновы.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

@Михалыч71, а можно ссылку(-и) на другие похожие тесты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

за то что он у вас всегда на первом месте, тогда как в других тестах он среднячок

В этом тесте взяли 9 угроз фактически 2-3 типов. Если Вы лично возьмете 100 угроз самых разных типов и проведете сравнение Касперского с тем, кого считаете лучше. Используйте критерии типа "распространенные" и "относительно новые".

Потом в видео-обзорах делают так. Сканируют все файлы, что не получило детект - запускают.

Но это конечно не тест активного заражения. Можете для сравнения отобрать те, кого Касперский детектирует, а другой нет (и наоборот). Потом снести антивирус. Запустить либо ту группу, либо ту. Поставить антивирус и посмотреть, что он сделает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×