Перейти к содержанию
Иван

тест проактивной защиты

Recommended Posts

Иван

у меня есть идея как провести более или менее объективный тест проактивной защиты (и эвристика и поведенческих одновременно) причем с прозрачной всем понятной коллекцией. непонятно пока правда где эту коллекцию взять, но это вопрос второй

давайте обсудим идею, итак

1.стандартно замораживаем обновления антивирусов на три месяца

2.большинство вендоров публикуют такую вещь как 20 или 10 самых распространенных зловредов в этом месяце. Берем предположим такие топы от всех вендоров скажем за третий месяц замораживания. Выкидываем из них тех, кто был в топах и до того как мы заморозили (чтоб сигнатурами не бралось). Смешиваем - вот нам и список самплов, прозрачный и непредвзятый.

3.Запускаем (именно запускаем) зловредов на машине. Зловредов будет не так много, так что запускать вполне реально.

А дальше так:

- эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

По-моему все стройно. Но есть 2 препятствия:

a.коллекция...но я вот сейчас писал это и подумал, что коллекцию можно взять у любого вендора или независмого тестировщика. Все равно у кого брать, т.к. вири которые мы отбираем для себя мы отбираем сами и у кого их отбирать неважно, важно что это те самые вири, которы мы в пункте 2 выше решили брать. А продукты мы заморозили заранее и вендор не сможет ничего поправить при всем желании.

б. проводить такой тест до зимы не имеет большого смысла, надо дождаться выхода 2008 продуктов всех вендоров.

ну как идейка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Мысль хорошая, учитывает большинство претензий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Иван

Более того, провести такой тест с помощью нескольких участников, живущих в разных городах. Т.е. один сделал - второй проверил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Пункт 2 никакой

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Пункт 2 никакой

очень возможно, но хотелось бы аргументов

Добавлено спустя 12 минут 11 секунд:

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

если это настройка по умолчанию, то надо 1 давать я думаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Пункт 2 никакой

очень возможно, но хотелось бы аргументов

попробуй сам составить такой список, хотя бы по данным 3-4 вендоров и увидишь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

если речь о том, что в топах как правило только давно известное вирье...то да лажа выходит

но ведь есть еще всякие сервисы откуда можно повыуживать какие вирусы были задетекчены в последнее время

http://www.pandasoftware.com/com/Virus_Inf...da=particulares

http://uk.trendmicro-europe.com/enterprise...ncyclopedia.php

http://www.kaspersky.ru/viruswatchlite

http://www.viruslist.com/ru/analysis?pubid=204007550

http://live.drweb.com/

http://www.symantec.com/home_homeoffice/se...lorer/index.jsp

http://vil.nai.com/vil/recently_updated_viruses.aspx

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например. Хотя понятно,что стройность схемы несколько теряется.

Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться? :)

Из раговора с Ильиным я понял у него есть выходы

Добавлено спустя 1 минуту 10 секунд:

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

и эти тоже взять, чтобы было 2 независимых источника

Добавлено спустя 6 минут 37 секунд:

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

При наличии вирусинфовых и меседжлабзовских самплов можно не заморачиватся...но всеж отвечу

Риск да не у всех определить, но вот макафи с симантеком например снабжают каждый вирь оценкой риска (погляди по ссылкам)

А где самплы брать...а у ЛК или Доктора можно было бы попросить, ведь рано или поздно так или иначе самплы которые детектят другие все равно в коллекциях наших компаний оказываются. Есть правда риск, что не дадут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

Если это корпоратив, то +0.5, если при этом оно послало извещение о попытках запуска малвары админу, то +1

А если это персональный продукт, то -1, потому что тупой вася пупкин потыкав в runme.exe и не увидев никиких результатов, тут же проспамит свой квип на тему "слыыш корешь, я тут ск0чал плагин к CS а он не пашет, видимо винда у меня глючит, вот попробуй сам: http:..."

И началась эпидемия...

> Есть правда риск, что не дадут.

Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

Никто вас за это не превлечет -вы же распространяете не с прямой целью, а с научной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×