ags

тестирование шлюзовых антивирусов

В этой теме 18 сообщений

Здравствуйте!

Есть задача протестировать несколько антивирусных корпоративных шлюзовых продуктов. Прежде всего интересует способность обнаруживать заразу в динамическом содержимом - в скриптах и т.п.

Может, кто-нибудь подскажет коллекцию URL с активной скриптовой заразой?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Распространение вредоносных программ, статья УК РФ :-)

Коллекцию URL собрать сложно, время жизни часто очень маленькое, что-то есть у нас закрытом разделе для опытов. Пишите в личку, если интересно.

Вообще я сомневаюсь, что такой тест даст что-то покажет, уж больно нерепрезентативной может быть выборка зловредов.

Я бы рекомендовал ориентироваться на тесты качества детектирования (detection rate), так как в любом случае движок один и тот же везде, зловред или ловится или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> Я бы рекомендовал ориентироваться на тесты качества

> детектирования (detection rate), так как в любом случае движок

> один и тот же везде, ...

А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Будьте бдительны и выбирайте правильную защиту :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Но это персональный продукт, реализованы ли подобные алгоритмы в шлюзовых продуктах ЛК или кого-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очень нужная тема, у нас сейчас как раз собираются ставит шлюзовый продукт, предполагается что он будет от ЛК. Хотелось бы чтобы высказались спецы по поводу этого шлюзового продукта и продуктов других производителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

CA - это norton или mcafee?

кстати могу скинуть программку,

кототая при отключенном антивирусе за 5 минут загоняет на комп 40–60 троянов,

которые большинство антивирусов не детектят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CA - это norton или mcafee?

http://ca.com/worldwide/

с просония не сообразил.

с симантеком и наи перепутал.

ето бывший труст, что–ли?

его в прошлом году на цебите анонсировали как единственный сертифицированный антивирус для suse–линукс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Но это персональный продукт, реализованы ли подобные алгоритмы в шлюзовых продуктах ЛК или кого-то еще?

в зависимости от того что вы хотите фильтровать. есть продукт под сквид и, в данный момент, научился работать с железками (цыска, блюкот).

там ситуация аналогична - трафик не попадет юзеру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в зависимости от того что вы хотите фильтровать. есть продукт под сквид и, в данный момент, научился работать с железками (цыска, блюкот).

там ситуация аналогична - трафик не попадет юзеру.

позволю себе не согласиться.

если зловреда нет в базе касперского,

то юзер получает зловредов на тарелке.

два примера: у менйа касперский

пропустил знаменитую "Vicky Hatchetson",

а также "корейские" линки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
позволю себе не согласиться.

если зловреда нет в базе касперского,

утрировать не надо. если вирья нет в базе, то любой его пропустить. проактивка, блокираторы и прочий хлам на серверном софте бесполезен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
утрировать не надо. .

да я вроде не утрирую, а опытом делюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

Забудь об этом проду достойного в этой сфере они никогда не делали ИМХО, купили два антивирусных движка и оба убили по сути, детект просто никакой, реальной худхий показатель по индустрии :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

утрировать не надо. .

да я вроде не утрирую, а опытом делюсь.

чтобы не быть голословным протестировал шлюзовой антивирус касперского, немецкая версия

все вирусы были в базе или были добавлены в базу касперского

9 страниц с вирусами:

Virus ..... http://antimalware.ru..........id=574 gefunden.

Virusname:Virus detected: Trojan-Dropper.Win32.Agent.azx /®£®¢®à¨¬-ª v2.1.exe

Server ..... zugriffsgeschützt.

http://antimalware.ru/.........id=959

Server ...... zugriffsgeschützt.

http://antimalware.ru/..........id=1070

Virus ...... http://antimalware.ru/..........id=1072 gefunden.

Virusname:Virus detected: Trojan.Java.ClassLoader.ao /11f0e733-1ae9601e/BaaaaBaa.class

Server ..... zugriffsgeschützt.

http://antimalware.ru/.......id=710

Virus ..... http://antimalware.ru/.....id=1102 gefunden.

Virusname:Virus detected: Trojan-Downloader.Win32.Agent.brr /xpdx.sys

Virus .... http://antimalware.ru/......id=1104 gefunden.

Virusname:Virus detected: Trojan.Win32.Dialer.qn /wnd2B8.tmp

результат: из 9 страниц с вирусами были заблокированы 9

блокированы также вирусы, заархивированные винраром с паролем.

100% :applause:

краткий перевод:

Virus .....gefunden --- вирус обнаружен

Server ..... zugriffsgeschützt ---- файл с сервера имеет пароль и блокируется

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для шлюзового антивируса важен не только уровень детекта, но и

1. Производительность

2. Особая обработка при загрузке больших файлов

3. Интеграция в существующую инфраструктуру

4. Дополнительные возможности (блокировка порнографии, квотирование трафика, аутентификация пользователей, ...)

Если по какой-то из этих позиция продукт не подходит, то его уровень детекта совершенно не принципиален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для шлюзового антивируса важен не только уровень детекта, но и Особая обработка при загрузке больших файлов.

это основной недостаток антивируса касперского.

скачивание файлов большого размера через шлюз с антивирусом касперского практически невозможно.

для этой цели необходимо использовать альтернативный доступ в интернет.

по крайней мере у меня для скачивания больших файлов имеется дополнительный выход в интернет минуя шлюз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> скачивание файлов большого размера через шлюз с антивирусом касперского практически невозможно.

А нука обоснуем, с приведением настроек на шлюзе. Это всетаки не персональный АВ, и настройки очень многое значат!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • djum
      Ставь Авас т  не парься.... Из бесплатных он один из лучших, если не лучший... У меня именно он, даи если хочешь, вон почти по всем обзорам: 4пда, гикхакер, компревю все в основном его рекомендуют... Так что можешь смело ставить...  
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.