Анализ современных антивирусов. Статья в IT-Спец

[Storm 0]

Но я не ради этих строчек ссылку дал

Но например как тогда можно увидеть балун RegGuard (выключенного по-дефолту) на действия хакер дефендера?

[vaber 350]

ха ха ха

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Хотя да я понимаю почему вредно, если бы тест полностью вышел в журнале, то чтобы тогда осталось печатать антималваре. Так бы и говорили, а то вредно вредно, не знаем что такое обнаружение руткита хипсом, раскажите нам пожалуйста и все такое Laughing

В журнале тест на ITW-образцах. Поэтому никаких концептов там нет и быть не должно.

Иван - Вы путаете две вещи: проактивный детект руткитов и поведенческий детект руткитов. Что касается поведенческого - я такого не знаю ). Та ссылка, которую Вы привели со скринами это не совсем по теме. Там показано, как PDM Касперского блокирует установку малвары (в частности руткита), а затем уже сигнатурный детект малвары с лечением. Но это все относится к любой малваре - не обязательно к руткитам.

Проактивный детект руткитов - это обнаружение активного руткита в системе без наличия сигнатуры (скрытый процесс, файл или драйвер). Для этого я и беру концепты руткитов - именно для проверки проактивного детекта.

[Сергей Ильин 1538]

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Конечно вредно. Не надо путать публикации в СМИ и на сайтах тестовых лабораторий.

[Иван 290]

vaber

во-первых, наряду с другими манипуляциями в приведенной мной статье присутствует обнаружение скрытых процессов, которое вы и проверяли на концептах.

во-вторых, под поведенческим детектом я как раз и понимал блокировку установки руткита в системе. ПРи этом меня никак не волнует что методы блокировки одинаковы для руткитов и других типоа малвары. Мне главное сам факт наличия блокировки.

в-третьих, все что я хотел сказать своими постами: гделать вывод о том, что какой-либо продукт успешнее других справляется с руткитами только на основе его возможностей успешно осуществлять лечение системы с известным активным руткитом несколько некорректно.

Некорректно как раз потому, что вы сами пишете:

-у других продуктов существуют возможности заблокировать руткит еще во время его установки в системе

-у других продуктов существует возможность обнаружения активного руткита без наличия сигнатуры

вот собственно и все

Добавлено спустя 5 минут 13 секунд:

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Конечно вредно. Не надо путать публикации в СМИ и на сайтах тестовых лабораторий.

ага то есть если вам какое-либо крупное айти издание предложит какой-либо ваш тест опубликовать на своих страницах, то вы откажетесь, ибо это вредно? Мне кажется такой шаг был бы ошибкой.

[vaber 350]

под поведенческим детектом я как раз и понимал блокировку установки руткита в системе. ПРи этом меня никак не волнует что методы блокировки одинаковы для руткитов и других типоа малвары. Мне главное сам факт наличия блокировки.

Это тема отдельного теста. Для него еще нужно вырабатывать методику.

З.Ы. Замечу, что не стоит весь функционал PDM антивируса Касперского подводить под слово поведенческий. За анализ поведения отвечает "опасная активность(анализ поведения)" - все остальное - мониторинг системных событий. Это уже не поведение. Тут юзер сам должен определять - малварь это или нет.

все что я хотел сказать своими постами: гделать вывод о том, что какой-либо продукт успешнее других справляется с руткитами только на основе его возможностей успешно осуществлять лечение системы с известным активным руткитом несколько некорректно.

Некорректно как раз потому, что вы сами пишете:

-у других продуктов существуют возможности заблокировать руткит еще во время его установки в системе

-у других продуктов существует возможность обнаружения активного руткита без наличия сигнатуры

Про блокировку установки сказано выше. В тесте на анти-малваре будет и проактивный детект - без сигнатуры. Соответсвенно тест будет более полным - в совокупности продолжение теста на активное и тест №2 антируткитов.

[Иван 290]

отлично, жалко только что этот более полный тест не попал в журнал

[vaber 350]

отлично, жалко только что этот более полный тест не попал в журнал

Там идея теста была другая - тест на уже известных антивирусам руткитах .

[vaber 350]

Перепрочитал и заметил, что я так и не уточнил почему в тесте не было проактивного детекта. В этом тесте я не задавался целью проверять функционал антивирусных продуктов. Цель теста - определить, какие из антивирусов ПРИНЦИПИАЛЬНО способны обнаруживать и удалять распространенные ITW, использующие руткит-технологию. Дабы поставить всех в раные условия и были выбраны самплы детектируемые сигнатурно. Упор делался на способ сокрытия в системе.