Перейти к содержанию
sww

Анализ современных антивирусов. Статья в IT-Спец

Recommended Posts

Storm
Но я не ради этих строчек ссылку дал

Но например как тогда можно увидеть балун RegGuard (выключенного по-дефолту) на действия хакер дефендера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
ха ха ха

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Хотя да я понимаю почему вредно, если бы тест полностью вышел в журнале, то чтобы тогда осталось печатать антималваре. Так бы и говорили, а то вредно вредно, не знаем что такое обнаружение руткита хипсом, раскажите нам пожалуйста и все такое Laughing

В журнале тест на ITW-образцах. Поэтому никаких концептов там нет и быть не должно.

Иван - Вы путаете две вещи: проактивный детект руткитов и поведенческий детект руткитов. Что касается поведенческого - я такого не знаю :)). Та ссылка, которую Вы привели со скринами это не совсем по теме. Там показано, как PDM Касперского блокирует установку малвары (в частности руткита), а затем уже сигнатурный детект малвары с лечением. Но это все относится к любой малваре - не обязательно к руткитам.

Проактивный детект руткитов - это обнаружение активного руткита в системе без наличия сигнатуры (скрытый процесс, файл или драйвер). Для этого я и беру концепты руткитов - именно для проверки проактивного детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Конечно вредно. Не надо путать публикации в СМИ и на сайтах тестовых лабораторий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

vaber

во-первых, наряду с другими манипуляциями в приведенной мной статье присутствует обнаружение скрытых процессов, которое вы и проверяли на концептах.

во-вторых, под поведенческим детектом я как раз и понимал блокировку установки руткита в системе. ПРи этом меня никак не волнует что методы блокировки одинаковы для руткитов и других типоа малвары. Мне главное сам факт наличия блокировки.

в-третьих, все что я хотел сказать своими постами: гделать вывод о том, что какой-либо продукт успешнее других справляется с руткитами только на основе его возможностей успешно осуществлять лечение системы с известным активным руткитом несколько некорректно.

Некорректно как раз потому, что вы сами пишете:

-у других продуктов существуют возможности заблокировать руткит еще во время его установки в системе

-у других продуктов существует возможность обнаружения активного руткита без наличия сигнатуры

вот собственно и все

Добавлено спустя 5 минут 13 секунд:

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Конечно вредно. Не надо путать публикации в СМИ и на сайтах тестовых лабораторий.

ага то есть если вам какое-либо крупное айти издание предложит какой-либо ваш тест опубликовать на своих страницах, то вы откажетесь, ибо это вредно? :D Мне кажется такой шаг был бы ошибкой. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
под поведенческим детектом я как раз и понимал блокировку установки руткита в системе. ПРи этом меня никак не волнует что методы блокировки одинаковы для руткитов и других типоа малвары. Мне главное сам факт наличия блокировки.

Это тема отдельного теста. Для него еще нужно вырабатывать методику.

З.Ы. Замечу, что не стоит весь функционал PDM антивируса Касперского подводить под слово поведенческий. За анализ поведения отвечает "опасная активность(анализ поведения)" - все остальное - мониторинг системных событий. Это уже не поведение. Тут юзер сам должен определять - малварь это или нет.

все что я хотел сказать своими постами: гделать вывод о том, что какой-либо продукт успешнее других справляется с руткитами только на основе его возможностей успешно осуществлять лечение системы с известным активным руткитом несколько некорректно.

Некорректно как раз потому, что вы сами пишете:

-у других продуктов существуют возможности заблокировать руткит еще во время его установки в системе

-у других продуктов существует возможность обнаружения активного руткита без наличия сигнатуры

Про блокировку установки сказано выше. В тесте на анти-малваре будет и проактивный детект - без сигнатуры. Соответсвенно тест будет более полным - в совокупности продолжение теста на активное и тест №2 антируткитов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

отлично, жалко только что этот более полный тест не попал в журнал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
отлично, жалко только что этот более полный тест не попал в журнал

Там идея теста была другая - тест на уже известных антивирусам руткитах .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Перепрочитал и заметил, что я так и не уточнил почему в тесте не было проактивного детекта. В этом тесте я не задавался целью проверять функционал антивирусных продуктов. Цель теста - определить, какие из антивирусов ПРИНЦИПИАЛЬНО способны обнаруживать и удалять распространенные ITW, использующие руткит-технологию. Дабы поставить всех в раные условия и были выбраны самплы детектируемые сигнатурно. Упор делался на способ сокрытия в системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×