Перейти к содержанию
vesorv

Насколько данный тест антивирусов правильный ?

Recommended Posts

vesorv

1. На жесткий диск загружаются дистрибутивы антивирусов и "свежие" вредоносные программы (только те, которые не обнаруживает сканер антивируса, то есть кнопочка эта в антивирусе называется "выборочная проверка файлов"), работающие без интернета.

2. На операционной системе запускают вредоносные программы (антивирус не установлен) и убеждаются в том, что они работают.

3. На чистую операционную систему из дистрибутива устанавливают антивирус, отключают интернет, и запускают вредоносные программы. Записывают все действия антивируса - сколько угроз обнаружил, когда обнаружил, какой компонент обнаружил, проводил ли антивирус лечение, что изменилось в системе после лечения. Потом ставят другой антивирус на чистую систему и проводят те же операции. 

Данный тест покажет способность антивирусов защищать от угроз и лечить систему без использования облака. Насколько данный тест отображает реальные возможности (то есть с применением облака) защиты антивирусов от новейших угроз и лечения системы от действий вредоносных программ ?

Раньше на форуме было относительно много людей, которые обсуждали интерестные темы (в том числе эксперты). Куда ушли эти люди, где они сейчас общаются, на каких интернет-площадках ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

vesorv

1) С отключенным интернетом вы не сможете активировать лицензию на антивирус.

а раз не сможете - то и не получите защиту.

Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель.

Получаем возможность проводить тестирование повторно.

2) Вам для тестирования не нужны "свежие" угрозы.

Разработчик регулярно обновляет установочный пакет.

Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д.

Интервал между версиями пару месяцев.

За пару месяцев ничего принципиального и прорывного в защите не сделать.

Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов.

И здесь можно тестировать угрозы о которых антивирус не осведомлён.

3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину.

так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако )

Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой.

4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств.

5) Многие вредоносные программы вы просто не сможете запустить.

так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка.

6) По очистке и лечению. Это не одно и тоже.

Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей.

Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы.

Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы.

Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет.

7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл.

Значит нужно проверять систему ещё до работы с реальными угрозами.

8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает.

+ Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ?

9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий.

10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум.

Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса.

11) Куда ушли ?  Да куда угодно.

Потеряли интерес, стало больше информации и меньше времени на её обсуждение.

Помните песню: "

Куда уехал цирк ?

он был ещё вчера "

https://www.comss.ru/page.php?id=5777

Дело в том, что всё уже давно обсудили, и вся информация есть в сети.

а все эти _публичные тестирования ( как бы это помягче сказать... )

Средняя температура по больнице в норме !

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      спасибо, исправлю
    • Sandor
      Опечатка в отчёте: Пропущена буква "t" в слове "Protected"
    • CyberYozh
      Бесплатный курс по анонимности и безопасности в сети
         Мы задались целью собрать все лучшее, что создано российскими и зарубежными экспертами по безопасности, переосмыслить свой опыт работы в сфере IT-безопасности и объединить полученные знания в книгу-курс.
         Курс написан простым и понятным языком, он подойдет даже неподготовленному читателю. Мы стремились, чтобы нужные, но скучные инструкции по настройке и теория разбавлялись развлекательным контентом, старались сделать курс интересным, а как вышло – судить вам.  В курсе вас ждут:  •истории ошибок и арестов известных хакеров,  •методы взлома и защиты,  •инструкции по шифрованию и стеганографии,  •настройка логических бомб и систем экстренного уничтожения,   •ловушки для хакеров,  •кибервойна и цензура,  •системы массовой слежки и кибершпионаж,  •песочницы и системы аппаратной изоляции,   •инструкции по настройке безопасного email и браузера,   •секреты безопасного общения в сети,  •VPN, SSH, Tor и proxy,  •криминалистический анализ и антикриминалистика,   •методы деанонимизации киберпреступников    и многое другое.  
      Курс доступен по адресу 
      https://book.cyberyozh.com/ru/ Часть глав выложены в видеоформате на нашем канале YouTube.
      https://www.youtube.com/channel/UChtuZ83LdNqqtjkukGhcekg    
    • Joji
      Просто смотрите обзор  букмекеров на доверенных ресурсах таких как  https://otstavka.net/  и выбираете себе контору которую желаете , там же можете посмотреть и все действующие бонусы и промокоды к ним . Не благодарите..!
    • Mawa27
      Здравствуйте,я покупала в данном интернет-магазине https://compacttool.ru/ .Здесь достаточно широкий ассортимент товара и цены вполне адекватные+ быстрая доставка.Я осталась довольна покупкой.Рекомендую.
×