тест проактивной защиты

[Иван 290]

у меня есть идея как провести более или менее объективный тест проактивной защиты (и эвристика и поведенческих одновременно) причем с прозрачной всем понятной коллекцией. непонятно пока правда где эту коллекцию взять, но это вопрос второй

давайте обсудим идею, итак

1.стандартно замораживаем обновления антивирусов на три месяца

2.большинство вендоров публикуют такую вещь как 20 или 10 самых распространенных зловредов в этом месяце. Берем предположим такие топы от всех вендоров скажем за третий месяц замораживания. Выкидываем из них тех, кто был в топах и до того как мы заморозили (чтоб сигнатурами не бралось). Смешиваем - вот нам и список самплов, прозрачный и непредвзятый.

3.Запускаем (именно запускаем) зловредов на машине. Зловредов будет не так много, так что запускать вполне реально.

А дальше так:

- эвристик дает вердикт типа: BehavesLike:Trojan.

Downloader, probably a variant of Win32/TrojanDownloader.Delf.ACC, Downloader (модификация) оцениваем детект в 1 бал (полноценное обнаружение)

-эвристик дает вердикт просто Suspicious file (Panda такое любит) - даем 0,5 балла, т.к. при таком вердикте пользователь с большой вероятностью не поверит антивирю

-поведенческий блокиратор дает вердикт типа: Trojan.generic или Keylogger, Invader, Hidden object (rootkit) и т.д. оцениваем детект в 1 бал

-поведенческий блокиратор просто сообщает всякую ерунду вроде Registry access или Hidden install не давая никаких вердиктов - только 0,5 бала.

По-моему все стройно. Но есть 2 препятствия:

a.коллекция...но я вот сейчас писал это и подумал, что коллекцию можно взять у любого вендора или независмого тестировщика. Все равно у кого брать, т.к. вири которые мы отбираем для себя мы отбираем сами и у кого их отбирать неважно, важно что это те самые вири, которы мы в пункте 2 выше решили брать. А продукты мы заморозили заранее и вендор не сможет ничего поправить при всем желании.

б. проводить такой тест до зимы не имеет большого смысла, надо дождаться выхода 2008 продуктов всех вендоров.

ну как идейка?

[Николай Головко 70]

Мысль хорошая, учитывает большинство претензий.

[VladB 60]

Иван

Более того, провести такой тест с помощью нескольких участников, живущих в разных городах. Т.е. один сделал - второй проверил

[A. 875]

Пункт 2 никакой

[Илья Рабинович 521]

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

[Иван 290]

Пункт 2 никакой

очень возможно, но хотелось бы аргументов

Добавлено спустя 12 минут 11 секунд:

А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

если это настройка по умолчанию, то надо 1 давать я думаю

[A. 875]

Пункт 2 никакой

очень возможно, но хотелось бы аргументов

попробуй сам составить такой список, хотя бы по данным 3-4 вендоров и увидишь

[Иван 290]

если речь о том, что в топах как правило только давно известное вирье...то да лажа выходит

но ведь есть еще всякие сервисы откуда можно повыуживать какие вирусы были задетекчены в последнее время

http://www.pandasoftware.com/com/Virus_Inf...da=particulares

http://uk.trendmicro-europe.com/enterprise...ncyclopedia.php

http://www.kaspersky.ru/viruswatchlite

http://www.viruslist.com/ru/analysis?pubid=204007550

http://live.drweb.com/

http://www.symantec.com/home_homeoffice/se...lorer/index.jsp

http://vil.nai.com/vil/recently_updated_viruses.aspx

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например. Хотя понятно,что стройность схемы несколько теряется.

Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем.

[A. 875]

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

[Storm 0]

Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться?

[Илья Рабинович 521]

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

[Иван 290]

Еще вариант взять у MessageLabs вирье, которые они ловят только их Скептиком и проверить на нем

И как будем с ними договариваться?

Из раговора с Ильиным я понял у него есть выходы

Добавлено спустя 1 минуту 10 секунд:

Всё делается проще. Сэмплы можно брать из выловленных на virusinfo.

и эти тоже взять, чтобы было 2 независимых источника

Добавлено спустя 6 минут 37 секунд:

ПРавда увы там вирья будет много...но можно брать, например, обнаруженное не за месяц, а за неделю предположим и только высого риска например.

Где же ты их брать будешь ? И как риск определять ? Из названия что ли ?

При наличии вирусинфовых и меседжлабзовских самплов можно не заморачиватся...но всеж отвечу

Риск да не у всех определить, но вот макафи с симантеком например снабжают каждый вирь оценкой риска (погляди по ссылкам)

А где самплы брать...а у ЛК или Доктора можно было бы попросить, ведь рано или поздно так или иначе самплы которые детектят другие все равно в коллекциях наших компаний оказываются. Есть правда риск, что не дадут.

[Dr.Golova 55]

> А если поведенческий блокиратор ничего не сообщает- просто режет всё потенциально опасное? Как будем оценивать?

Если это корпоратив, то +0.5, если при этом оно послало извещение о попытках запуска малвары админу, то +1

А если это персональный продукт, то -1, потому что тупой вася пупкин потыкав в runme.exe и не увидев никиких результатов, тут же проспамит свой квип на тему "слыыш корешь, я тут ск0чал плагин к CS а он не пашет, видимо винда у меня глючит, вот попробуй сам: http:..."

И началась эпидемия...

> Есть правда риск, что не дадут.

Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

[Alex_Goodwin 81]

Не дадим 100% - ст0тью за распространение никто не отменял, телаги стегать или лес валить никому неохота (если уж это олигархов к0сается, то куда уж нам), извиняйте.

Никто вас за это не превлечет -вы же распространяете не с прямой целью, а с научной.