Перейти к содержанию
Иван

тест проактивной защиты

Recommended Posts

Иван

у меня есть идея как провести более или менее объективный тест проактивной защиты (и эвристика и поведенческих одновременно) причем с прозрачной всем понятной коллекцией. непонятно пока правда где эту коллекцию взять, но это вопрос второй

давайте обсудим идею, итак

1.стандартно замораживаем обновления антивирусов на три месяца

2.большинство вендоров публикуют такую вещь как 20 или 10 самых распространенных зловредов в этом месяце. Берем предположим такие топы от всех вендоров скажем за третий месяц замораживания. Выкидываем из них тех, кто был в топах и до того как мы заморозили (чтоб сигнатурами не бралось). Смешиваем - вот нам и список самплов, прозрачный и непредвзятый.

3.Запускаем (именно запускаем) зловредов на машине. Зловредов будет не так много, так что запускать вполне реально.

А дальше так:

- эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

По-моему все стройно. Но есть 2 препятствия:

a.коллекция...но я вот сейчас писал это и подумал, что коллекцию можно взять у любого вендора или независмого тестировщика. Все равно у кого брать, т.к. вири которые мы отбираем для себя мы отбираем сами и у кого их отбирать неважно, важно что это те самые вири, которы мы в пункте 2 выше решили брать. А продукты мы заморозили заранее и вендор не сможет ничего поправить при всем желании.

б. проводить такой тест до зимы не имеет большого смысла, надо дождаться выхода 2008 продуктов всех вендоров.

ну как идейка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мысль хорошая, учитывает большинство претензий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Иван

Более того, провести такой тест с помощью нескольких участников, живущих в разных городах. Т.е. один сделал - второй проверил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Пункт 2 никакой

очень возможно, но хотелось бы аргументов

Добавлено спустя 12 минут 11 секунд:

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

если это настройка по умолчанию, то надо 1 давать я думаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Пункт 2 никакой

очень возможно, но хотелось бы аргументов

попробуй сам составить такой список, хотя бы по данным 3-4 вендоров и увидишь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

если речь о том, что в топах как правило только давно известное вирье...то да лажа выходит

но ведь есть еще всякие сервисы откуда можно повыуживать какие вирусы были задетекчены в последнее время

http://www.pandasoftware.com/com/Virus_Inf...da=particulares

http://uk.trendmicro-europe.com/enterprise...ncyclopedia.php

http://www.kaspersky.ru/viruswatchlite

http://www.viruslist.com/ru/analysis?pubid=204007550

http://live.drweb.com/

http://www.symantec.com/home_homeoffice/se...lorer/index.jsp

http://vil.nai.com/vil/recently_updated_viruses.aspx

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например. Хотя понятно,что стройность схемы несколько теряется.

Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться? :)

Из раговора с Ильиным я понял у него есть выходы

Добавлено спустя 1 минуту 10 секунд:

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

и эти тоже взять, чтобы было 2 независимых источника

Добавлено спустя 6 минут 37 секунд:

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

При наличии вирусинфовых и меседжлабзовских самплов можно не заморачиватся...но всеж отвечу

Риск да не у всех определить, но вот макафи с симантеком например снабжают каждый вирь оценкой риска (погляди по ссылкам)

А где самплы брать...а у ЛК или Доктора можно было бы попросить, ведь рано или поздно так или иначе самплы которые детектят другие все равно в коллекциях наших компаний оказываются. Есть правда риск, что не дадут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

Если это корпоратив, то +0.5, если при этом оно послало извещение о попытках запуска малвары админу, то +1

А если это персональный продукт, то -1, потому что тупой вася пупкин потыкав в runme.exe и не увидев никиких результатов, тут же проспамит свой квип на тему "слыыш корешь, я тут ск0чал плагин к CS а он не пашет, видимо винда у меня глючит, вот попробуй сам: http:..."

И началась эпидемия...

> Есть правда риск, что не дадут.

Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

Никто вас за это не превлечет -вы же распространяете не с прямой целью, а с научной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Здравствуйте,я покупала в данном интернет-магазине https://compacttool.ru/ .Здесь достаточно широкий ассортимент товара и цены вполне адекватные+ быстрая доставка.Я осталась довольна покупкой.Рекомендую.
    • Sawa26
      Ребят где купить модуль питания  беспаечной платы?
    • Mawa27
      Я пользуюсь услугами вот этих ребят https://prohoster.info.Они предоставляют комплексные услуги по созданию сайтов и их обслуживанию, начиная от выбора доменного имени, заканчивая доп. услугами для его защиты от вирусных атак.
    • Sawa26
      Ребят,где приобрести надежный хостинг?
    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
×