Перейти к содержанию
sww

Анализ современных антивирусов. Статья в IT-Спец

Recommended Posts

Storm
Но я не ради этих строчек ссылку дал

Но например как тогда можно увидеть балун RegGuard (выключенного по-дефолту) на действия хакер дефендера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
ха ха ха

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Хотя да я понимаю почему вредно, если бы тест полностью вышел в журнале, то чтобы тогда осталось печатать антималваре. Так бы и говорили, а то вредно вредно, не знаем что такое обнаружение руткита хипсом, раскажите нам пожалуйста и все такое Laughing

В журнале тест на ITW-образцах. Поэтому никаких концептов там нет и быть не должно.

Иван - Вы путаете две вещи: проактивный детект руткитов и поведенческий детект руткитов. Что касается поведенческого - я такого не знаю :)). Та ссылка, которую Вы привели со скринами это не совсем по теме. Там показано, как PDM Касперского блокирует установку малвары (в частности руткита), а затем уже сигнатурный детект малвары с лечением. Но это все относится к любой малваре - не обязательно к руткитам.

Проактивный детект руткитов - это обнаружение активного руткита в системе без наличия сигнатуры (скрытый процесс, файл или драйвер). Для этого я и беру концепты руткитов - именно для проверки проактивного детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Конечно вредно. Не надо путать публикации в СМИ и на сайтах тестовых лабораторий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

vaber

во-первых, наряду с другими манипуляциями в приведенной мной статье присутствует обнаружение скрытых процессов, которое вы и проверяли на концептах.

во-вторых, под поведенческим детектом я как раз и понимал блокировку установки руткита в системе. ПРи этом меня никак не волнует что методы блокировки одинаковы для руткитов и других типоа малвары. Мне главное сам факт наличия блокировки.

в-третьих, все что я хотел сказать своими постами: гделать вывод о том, что какой-либо продукт успешнее других справляется с руткитами только на основе его возможностей успешно осуществлять лечение системы с известным активным руткитом несколько некорректно.

Некорректно как раз потому, что вы сами пишете:

-у других продуктов существуют возможности заблокировать руткит еще во время его установки в системе

-у других продуктов существует возможность обнаружения активного руткита без наличия сигнатуры

вот собственно и все

Добавлено спустя 5 минут 13 секунд:

то есть то что vaber будет в новом тесте на антималваре проверять способности антивирей обнаруживать концепты руткитов - это не вредно, а сделать то же самое в статье профессионального журнала - вредно?

Конечно вредно. Не надо путать публикации в СМИ и на сайтах тестовых лабораторий.

ага то есть если вам какое-либо крупное айти издание предложит какой-либо ваш тест опубликовать на своих страницах, то вы откажетесь, ибо это вредно? :D Мне кажется такой шаг был бы ошибкой. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
под поведенческим детектом я как раз и понимал блокировку установки руткита в системе. ПРи этом меня никак не волнует что методы блокировки одинаковы для руткитов и других типоа малвары. Мне главное сам факт наличия блокировки.

Это тема отдельного теста. Для него еще нужно вырабатывать методику.

З.Ы. Замечу, что не стоит весь функционал PDM антивируса Касперского подводить под слово поведенческий. За анализ поведения отвечает "опасная активность(анализ поведения)" - все остальное - мониторинг системных событий. Это уже не поведение. Тут юзер сам должен определять - малварь это или нет.

все что я хотел сказать своими постами: гделать вывод о том, что какой-либо продукт успешнее других справляется с руткитами только на основе его возможностей успешно осуществлять лечение системы с известным активным руткитом несколько некорректно.

Некорректно как раз потому, что вы сами пишете:

-у других продуктов существуют возможности заблокировать руткит еще во время его установки в системе

-у других продуктов существует возможность обнаружения активного руткита без наличия сигнатуры

Про блокировку установки сказано выше. В тесте на анти-малваре будет и проактивный детект - без сигнатуры. Соответсвенно тест будет более полным - в совокупности продолжение теста на активное и тест №2 антируткитов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

отлично, жалко только что этот более полный тест не попал в журнал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
отлично, жалко только что этот более полный тест не попал в журнал

Там идея теста была другая - тест на уже известных антивирусам руткитах .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Перепрочитал и заметил, что я так и не уточнил почему в тесте не было проактивного детекта. В этом тесте я не задавался целью проверять функционал антивирусных продуктов. Цель теста - определить, какие из антивирусов ПРИНЦИПИАЛЬНО способны обнаруживать и удалять распространенные ITW, использующие руткит-технологию. Дабы поставить всех в раные условия и были выбраны самплы детектируемые сигнатурно. Упор делался на способ сокрытия в системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      "времени на раскачку нет"  https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721 HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
      C:\Windows\System32\1corona.exe
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
      C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
      C:\Users\Dmitriy\AppData\Roaming\1corona.exe ------------------ А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы" 
    • dompokypok1
      Работаю над проектом интернет-магазина вроде все урезал ужал и жаль что еще можно сделать.
    • dgek2022
      Японская кухня пользуется популярностью по всей России. Традиционная еда из риса и морепродуктов – это прекрасная альтернатива привычному ужину или обеду. Наше кафе японской кухни предлагает удобную услугу – доставка суши, сеты, роллы и других блюд в Томске на дом или в офис. Для больших компаний у нас есть особенные предложения. Зачем куда-то ходить, если можно в любой момент заказать блюда японской кухни. Делая заявку в нашем кафе «Джекина Доставка», вы получаете свежий продукт. Для приготовления используются только натуральные ингредиенты. Особого внимания заслуживает дизайнерская упаковка из экосырья. Эстетичный вид и вкусные японские блюда – все это по доступной цене.
    • dompokypok1
      Периодически у компаний и частных лиц (реже) возникает задача по рейтингованию идей сотрудников или клиентов. Хороший инструмент — параметрические таблицы выбора. Лучшая реализация таблиц выбора на сайте https://choser.ru в choser.ru можно создать неограниченно большие списки/рейтинги идей/рационализаторских предложений/инноваций и за секунды менять приоритеты параметров, фильтры и сортировки для поиска или выбора лучших. Сам практикую использование параметрических таблиц для своих более чем 6400 идей, а так же многократно использовал аналогичный подход для рейтингования/конкурсов на предприятиях. Так что рекомендую  Официальный блог проекта см. https://4choser.ru
    • PR55.RP55
      cscript.exe https://tproger.ru/news/winrm-vbs-windows/ https://vms.drweb.com/virus/?i=8365848&lng=en https://vms.drweb.ru/virus/?i=4154287 O22 - Task: \Microsoft\Windows\Server Manager\CleanupOldPerfLogs - C:\Windows\system32\cscript.exe /B /nologo C:\Windows\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)
      mshta.exe mshta.exe c:\temp.hta
      Mshta.exe http://www.******.com/bar.hta
×