Иван

тест проактивной защиты

В этой теме 14 сообщений

у меня есть идея как провести более или менее объективный тест проактивной защиты (и эвристика и поведенческих одновременно) причем с прозрачной всем понятной коллекцией. непонятно пока правда где эту коллекцию взять, но это вопрос второй

давайте обсудим идею, итак

1.стандартно замораживаем обновления антивирусов на три месяца

2.большинство вендоров публикуют такую вещь как 20 или 10 самых распространенных зловредов в этом месяце. Берем предположим такие топы от всех вендоров скажем за третий месяц замораживания. Выкидываем из них тех, кто был в топах и до того как мы заморозили (чтоб сигнатурами не бралось). Смешиваем - вот нам и список самплов, прозрачный и непредвзятый.

3.Запускаем (именно запускаем) зловредов на машине. Зловредов будет не так много, так что запускать вполне реально.

А дальше так:

- эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

По-моему все стройно. Но есть 2 препятствия:

a.коллекция...но я вот сейчас писал это и подумал, что коллекцию можно взять у любого вендора или независмого тестировщика. Все равно у кого брать, т.к. вири которые мы отбираем для себя мы отбираем сами и у кого их отбирать неважно, важно что это те самые вири, которы мы в пункте 2 выше решили брать. А продукты мы заморозили заранее и вендор не сможет ничего поправить при всем желании.

б. проводить такой тест до зимы не имеет большого смысла, надо дождаться выхода 2008 продуктов всех вендоров.

ну как идейка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мысль хорошая, учитывает большинство претензий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Иван

Более того, провести такой тест с помощью нескольких участников, живущих в разных городах. Т.е. один сделал - второй проверил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пункт 2 никакой

очень возможно, но хотелось бы аргументов

Добавлено спустя 12 минут 11 секунд:

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

если это настройка по умолчанию, то надо 1 давать я думаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пункт 2 никакой

очень возможно, но хотелось бы аргументов

попробуй сам составить такой список, хотя бы по данным 3-4 вендоров и увидишь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если речь о том, что в топах как правило только давно известное вирье...то да лажа выходит

но ведь есть еще всякие сервисы откуда можно повыуживать какие вирусы были задетекчены в последнее время

http://www.pandasoftware.com/com/Virus_Inf...da=particulares

http://uk.trendmicro-europe.com/enterprise...ncyclopedia.php

http://www.kaspersky.ru/viruswatchlite

http://www.viruslist.com/ru/analysis?pubid=204007550

http://live.drweb.com/

http://www.symantec.com/home_homeoffice/se...lorer/index.jsp

http://vil.nai.com/vil/recently_updated_viruses.aspx

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например. Хотя понятно,что стройность схемы несколько теряется.

Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться? :)

Из раговора с Ильиным я понял у него есть выходы

Добавлено спустя 1 минуту 10 секунд:

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

и эти тоже взять, чтобы было 2 независимых источника

Добавлено спустя 6 минут 37 секунд:

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

При наличии вирусинфовых и меседжлабзовских самплов можно не заморачиватся...но всеж отвечу

Риск да не у всех определить, но вот макафи с симантеком например снабжают каждый вирь оценкой риска (погляди по ссылкам)

А где самплы брать...а у ЛК или Доктора можно было бы попросить, ведь рано или поздно так или иначе самплы которые детектят другие все равно в коллекциях наших компаний оказываются. Есть правда риск, что не дадут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

Если это корпоратив, то +0.5, если при этом оно послало извещение о попытках запуска малвары админу, то +1

А если это персональный продукт, то -1, потому что тупой вася пупкин потыкав в runme.exe и не увидев никиких результатов, тут же проспамит свой квип на тему "слыыш корешь, я тут ск0чал плагин к CS а он не пашет, видимо винда у меня глючит, вот попробуй сам: http:..."

И началась эпидемия...

> Есть правда риск, что не дадут.

Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

Никто вас за это не превлечет -вы же распространяете не с прямой целью, а с научной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS