Перейти к содержанию
Сергей Ильин

Тест антивирусов/антируткитов на обнаружение активных руткитов (результаты)

Recommended Posts

Иван

Valery Ledovskoy я вот читаю вас и у меня создается ощущение что вы пытаетесь доказать странное...

типа раз какой-то технологии у большинства вендоров нет - давайте не будем ее тестировать или будем тестировать отдельно, потому как она ловит то же самое, но совсем не так.

это тоже самое, что в тесте на общий детект зачем-то отключать эвристик, потому как он совсем по другому работает, не так как сигнатуры

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Mr. Justice, Ваше резюме полностью деструктивно ко мне как к оппоненту.

Это ваша иллюзия. Я лишь желаю восстановить справедливость. А вы упорно препятствуете этому.

Например, ни Вы, ни автор теста (он в этом признался) не смогли объяснить, почему для концептов был выбран коэффициент 0,5. Каким образом он был вычислен? Почему не 0,3 или не 0,8 или не на равных с реальными руткитами?

Очередной деструктив. Помнению автра это наиболее оптимальный вариант, который дает значительную фору, антивирусам, которые опираются исключительно на классические методы защиты, игнорирующие достижения современной антивирусной индустрии!

А если это не объяснено в методике, то я могу сделать вывод, что этот дефект методики позволяет играть результатами так, как хочется. Попробуйте поизменять этот коэффициент от 0,25 до 0,75 и Вы увидите, как меняются итоговые результаты.

Знаете туту никто специально для вас "Войну и мир" писать не будет. На банальные вопросы можно дать ответ самому.

Нет, не так. Разработка "проактивных" методов защиты ведётся большинством вендоров, и все вендоры понимают необходимость этого. Но не все вендоры считают, что на данный момент общий уровень работы проактивных методов (в мире, если хотите) настолько высок, что его обязательно нужно включать в продукты. Ибо и без проактивной защиты можно неплохо противодействовать реальным руткитам.

Это объясняет надуманным упрямством таких вендоров и невозможностью обеспечить оптимальную работу элементов проактивной защиты этими вендорами. Но есть вендоры, которые научились это деалать и на сегодняшний день уже предоставляют возможность пользоваться всеми преимуществами этих технологий уже сегодня и без особых проблем для пользователей.

Я делаю вывод, что Вы поверхностно ознакомились с моими сообщениями.

Я их читаю. Но не уверен что вы сами перечитываете то. что написали. В ваших сообщениях полно противоречий и логических неувязок. Хотя внешне все выглядит красиво. Вы постоянно пытаетесь выкручиваться и даже тогда, когда вы явно неправы. Слова словами, но логику игнорировать не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
это тоже самое, что в тесте на общий детект зачем-то отключать эвристик, потому как он совсем по другому работает, не так как сигнатуры

Угу. И так же, как в тест проактивного детекта "на сладкое" включать уровень детекта с актуальными базами. Т.е. в одном тесте мы разделяем и властвуем, в другом складываем, но "даём фору", в третьем просто складываем результаты тестов, которые понравились и называем это "интегральным тестом", в четвёртом говорим, что нужны дополнительные исследования, но они будут проведены позже, что делает недостаточно понятными результаты теста. Тут уж никак не меньше противоречий, чем в моих высказываниях.

Но есть вендоры, которые научились это деалать и на сегодняшний день уже предоставляют возможность пользоваться всеми преимуществами этих технологий уже сегодня и без особых проблем для пользователей.

Кто-нибудь исследовал уровень проблем пользователей при использовании проактивной защиты? Не думаю, что при существующих реализациях проактивки можно сказать "предоставляют возможность пользоваться всеми преимуществами". Ну да ладно.

Я лишь желаю восстановить справедливость.

Справедливость - это принятие единогласного решения?

Добавлено спустя 3 минуты 14 секунд:

типа раз какой-то технологии у большинства вендоров нет - давайте не будем ее тестировать или будем тестировать отдельно, потому как она ловит то же самое, но совсем не так.

Нет, не так. При избранной методологии тестирования нельзя объединять эти 2 составляющие результатов.

Нужно было выдать 2 комплекта наград. И ничего, что из второго комплекта награды достались бы только двум продуктам. Ими можно было бы гордиться в пресс-релизах ещё больше.

Упустили такую возможность для пиара ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Угу. И так же, как в тест проактивного детекта "на сладкое" включать уровень детекта с актуальными базами. Т.е. в одном тесте мы разделяем и властвуем, в другом складываем, но "даём фору", в третьем просто складываем результаты тестов, которые понравились и называем это "интегральным тестом", в четвёртом говорим, что нужны дополнительные исследования, но они будут проведены позже, что делает недостаточно понятными результаты теста. Тут уж никак не меньше противоречий, чем в моих высказываниях.

Вот это интересное предложение. Но в этом случае нужно будет провести несколько исследований. При этом важно отметить, что ваше предложение выходит за рамки заявленного в данном тесте. Это будет другой тест.

Кто-нибудь исследовал уровень проблем пользователей при использовании проактивной защиты?

Опять вы за свое. Для чего нужно проводить в данном случае какие-то исследования? Неужели по каждому случаю нужно проводить социологические исследования? Если бы пользователи были недовольны проактивной защитой в базовом варианте, то это было бы заметно по жалобам пользователей на форумах, существенно бы возросла нагрузка на техподдержку. Если бы все это было вендор бы откался полностью или частично от этой технологии. Интересная у вас логика. Мне даже смешно об этом говорить. То есть получается перед каждым внедрением новой технологии нужно проводить социологическое исследование. Скажите Dr.Web проводит социологическое исследование по вопросу удовлетворенности пользователей своим эвристиком или originoм? Думаю ограничивается бета-тестированием и просмотром форумов.

Не думаю, что при существующих реализациях проактивки можно сказать "предоставляют возможность пользоваться всеми преимуществами". Ну да ладно.

Да? У вас есть аргументы? Если нет, то о чем речь? Если вендор не прав - докажите! Доказывать должны вы а не я. Если у вас нет доказательств, то и не нужно утверждать, что на сегодняшний день использовать технологии проактивной защите нецелесообразно.

Я лишь желаю восстановить справедливость.
Справедливость - это принятие единогласного решения?

Нет, но то что вы предлагаете не совместимо с идеалами справедливости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Это действительно интересный аргумент. Может ли это повлиять на результаты теста и в какой степени?

Какие будут мнения? Нужно конечно обсудить степень корректностьи определения результатов.

первый пост на этой странице -я ответил на этот вопрос.

У меня сложилось впечатление, что Unreal не удаляет свою запись из реестра и сообразно инициализируется после каждой перезагрузки.

Да, только это тоже концепт и я его протестировал как концепт - чтобы было одинаково.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Mr. Justice, я ещё напомню про то, что в тесте участвовали только те производители ПО, которые заявляют поддержку лечения руткитов. Это вроде как политкорректно, да?

Но почему тогда в тесте проактивного обнаружения руткитов участвовали не только те производители ПО, которые заявляют о таком функционале? Непоследовательность.

Добавлено спустя 8 минут 13 секунд:

Для чего нужно проводить в данном случае какие-то исследования? Неужели по каждому случаю нужно проводить социологические исследования?

Для того, чтобы говорить "предоставляют возможность пользоваться всеми преимуществами этих технологий уже сегодня и без особых проблем для пользователей.". Получается, проблемы всё же есть (не особые). И Вы утверждаете, что все возможности идеи (преимущества) проактивной защиты уже реализованы. Я уверен, что есть ещё, куда развиваться, т.е. всеми преимуществами проактивной защиты уже сейчас нельзя пользоваться :) Но это так, цепляние за слова.

В любом случае, я считаю, что сейчас проактивные технологии носят вспомогательный характер, а не основной. Со временем эта ситуация будет меняться в пользу проактивных технологий.

Вы считаете, что проактивные технологии _уже_ достигли такого уровня, когда на них можно смело положиться и в будущем будут развиваться менее интенсивно. Тоже имеете на это право.

Вот это справедливость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Mr. Justice, я ещё напомню про то, что в тесте участвовали только те производители ПО, которые заявляют поддержку лечения руткитов. Это вроде как политкорректно, да?

Но почему тогда в тесте проактивного обнаружения руткитов участвовали не только те производители ПО, которые заявляют о таком функционале? Непоследовательность.

В тесте участвовали те производители средств защиты, в которых заявлена возможность противодействия руткитам всеми имеющимися у них возможностями по защите. Если какие-то из продуктов не располагает какими-либо средстами, то это проблема вендора, а не тестера! Попросите Клементи или Маркса не использовать в тестаx те продукты, которые не располагают технологией origin. Или использовать устаревшие версии Dr.Web Знаете что вам ответят?

Добавлено спустя 8 минут 13 секунд:

Для того, чтобы говорить "предоставляют возможность пользоваться всеми преимуществами этих технологий уже сегодня и без особых проблем для пользователей.". Получается, проблемы всё же есть (не особые). И Вы утверждаете, что все возможности идеи (преимущества) проактивной защиты уже реализованы. Я уверен, что есть ещё, куда развиваться, т.е. всеми преимуществами проактивной защиты уже сейчас нельзя пользоваться :)

Безусловно.

Но это так, цепляние за слова.

Да, у вас это хорошо получается :)

В любом случае, я считаю, что сейчас проактивные технологии носят вспомогательный характер, а не основной. Со временем эта ситуация будет меняться в пользу проактивных технологий.

Вы считаете, что проактивные технологии _уже_ достигли такого уровня, когда на них можно смело положиться и в будущем будут развиваться менее интенсивно. Тоже имеете на это право.

В принципе согласен, но...Я бы все-таки переместил центр тяжести в сторону "проактива" (в данном случае поведенческого анализа). Я считаю, что защита должна быть сбалансирована. Нужно использовать и сигнатуры и эвристик и поведенческий анализ, и по возможности, уникальные технологии как, например, origin. Не нужно недооценивать возможности той или иной проверенной технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
В тесте участвовали те производители средств защиты, в которых заявлена возможность противодействия руткитам всеми имеющимися у них возможностями по защите. Если какие-то из продуктов не располагает какими-либо средстами, то это проблема вендора, а не тестера! Попросите Клементи или Маркса не использовать в тестаx те продукты, которые не располагают технологией origin. Или использовать устаревшие версии Dr.Web Знаете что вам ответят?

Спасибо, такой ответ меня устраивает. Отчасти.

Ибо те результаты, которые мы видим, с одной стороны обусловлен тем, что по-другому репрезентативный тест провести было нельзя, но с другой стороны тест был (в том числе) не на реальных руткитах, а на концептах.

Т.е. тест ещё раз показал, что от выбранной методологии во многом зависят результаты тестирования.

И результаты тестирования воспринимаются тем серьёзнее, чем авторитетнее для аудитории автор теста.

Т.е. мы полагаемся больше на опыт автора теста при выборе им методики.

Хочется пожелать, чтобы в будущем результаты тестирования больше зависели от качества продуктов, а методики были более стандартизованы и приняты сообществом специалистов по информационной безопасности.

В принципе согласен, но...Я бы все-таки переместил центр тяжести в сторону "проактива" (в данном случае поведенческого анализа). Я считаю, что защита должна быть сбалансирована. Нужно использовать и сигнатуры и эвристик и поведенческий анализ, и по возможности, уникальные технологии как, например, origin. Не нужно недооценивать возможности той или иной проверенной технологии.

Ок, в общем согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Авторитет vabera и Сергея на меня лично не оказал никакого воздействия. Я старался рассуждать максимально объективно, несмотря на то, что не все воспринимают меня как независимого участниками дискуссии. Не исключаю, что в будущем подобные тесты можно было бы усовершенствовать, но и результаты данного теста могут быть положены в основу оценки способности различных продуктов противодействовать руткитам. На данный момент серьезных оснований не доверять этому тесту у меня нет.

Спасибо за дискуссию!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Для примера прошу заметить, что Антивирус Касперского уступил в этом тесте антивирусу Dr.Web на реальных руткитах, несмотря на то, что проактивное противодействие руткитам у первого есть, а у второго его нет. В итоговых результатах этого не видно, а методологию и подробные результаты тестов пользователи редко читают. Также в пресс-релизах эти подробности редко публикуются. А они как раз очень важны для понимания таких "интегральных" результатов.

Действительно в выводах нельзя охватить все важные детали теста. В любом случае никто не мешает компании Доктор Веб выпустить пресс-релиз, где указать что "по результатам этого теста Антивирус DrWeb оказался лучшим по обнаружения вредоносных программ, использующих руткит технологии". Это будет правда, никакой манипуляции фактами. ;)

О, это очень серьёзный аргумент по моему мнению! Если продукт, который взял проактивкой все концепты, не берёт все реальные руткиты, это говорит о том, что те концепты, которые были взяты для тестов, не охватывают всех возможных способностей руткитов противодействовать их обнаружению. И это как раз указывает на недостаточную репрезентативность выбора концептов для тестирования проактивной составляющей антируткитов. Снова не так?

Это говорит о том, что у продукта (в частности Антивируса Касперского) есть некоторые проблемы с обнаружением реальных руткитов с конткретными характеристиками. С другой стороны проактивно им на основании анализа системых событий могут быть обнаружены другие руткиты, не известные в классическом смысле.

Получается что для охвата всех существующих методов пришлось слить все вкучу: раеальные малвары и концепты. Зато в результате картина получилась более полная. Еще раз отмечу, что никто не мешает обособленно использовать чать реузльтатов теста при цитировании.

Антивирус должен защищать не только от существующих на сегодняшний день угроз (реактиваня защита), он должен уметь противостоять угрозам, с которыми пользователь может столкнуться в ближайшем будущем (превентивная защита).

Полностью согласен. Если имеет место подозрительная активность, свойственная руткитам, то хорошо бы ее обнаруживать в любом случае.

Самой большой проблемой были суммарные оценки антивирусов и антируткитов. Потому как за малвары вроде как справедливо давать больше баллов, чем за концепты, но с другой - вес проактивки занижается. Мы выбрали второй вариант, так как обнаружение ITW-образцов важнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей, спасибо за полезную информацию. Мне вчерашняя-сегодняшняя дискуссия сильно помогла для того, чтобы тщательнее разобраться в данном конкретном тестировании. Думаю, и другим участникам были интересны некоторые моменты.

Поздравляю ещё раз Вас с Новым Годом, желаю всего самого наилучшего и больше поводов для конструктивных дискуссий :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Действительно в выводах нельзя охватить все важные детали теста. В любом случае никто не мешает компании Доктор Веб выпустить пресс-релиз, где указать что "по результатам этого теста Антивирус DrWeb оказался лучшим по обнаружения вредоносных программ, использующих руткит технологии". Это будет правда, никакой манипуляции фактами. ;)
Это говорит о том, что у продукта (в частности Антивируса Касперского) есть некоторые проблемы с обнаружением реальных руткитов с конткретными характеристиками. С другой стороны проактивно им на основании анализа системых событий могут быть обнаружены другие руткиты, не известные в классическом смысле.

Полностью согласен. Результаты теста можно использовать раздельно. Несомненно Dr.Web показал наивысшие результаты среди всех антивирусов в ходе противодействия существующим на данный момент руткитам (реактвный детект), Касперский оказался лучше по проактивному детекту. По общим результатам Касперский немного опередил ближайших конкурентов.

Получается что для охвата всех существующих методов пришлось слить все вкучу: раеальные малвары и концепты. Зато в результате картина получилась более полная. Еще раз отмечу, что никто не мешает обособленно использовать чать реузльтатов теста при цитировании.

Именно это я и пытаюсь доказать.

Самой большой проблемой были суммарные оценки антивирусов и антируткитов. Потому как за малвары вроде как справедливо давать больше баллов, чем за концепты, но с другой - вес проактивки занижается. Мы выбрали второй вариант, так как обнаружение ITW-образцов важнее.

Вы реальные malware оценивали выше, по сравнению с концептами. ОК, я лично, принимаю, вашу позицию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ThreatSense®Vitalik

А в следуешем тесте,Windows DEFENDER(зашитник Виндовс),будет тестироватся,записи рукнитов у него есть,HIPS мошная тоже,эвристик -плохой наверно,проверяет архивы и реестр.

Ставится и на ХР,и помоемуму по активному заражению неподкачает.

a984040685c2e60bd3a5f423a01c5adf.jpg

Штоб выдавались алерты,надо поставить 2 галки обведённые красным.

http://smages.com/1c/0c/1c0cd292107c41dd6e...5fe567f.jpg.htm

http://smages.com/5f/ce/5fce8e9de929b455a5...9877ac1.jpg.htm

http://smages.com/20/72/2072ed8dc7c9678e9e...b43f88c.jpg.htm

У многих сотен тысяч людей он стойт по умолчанию,они ломают голову отключать его или нет,HIPS надежная или нет,как он с активным заражением борется.

Ну пожалусто, проведиде имменно этот тест ,с темеже малварами,на Зашитнике Виндовс отдельно,мы воспримем правельно любые результаты.!!!

Ведь нет вообще, никакой по нему информацыи. ( обновления крайне запоздалые,и не всё видит, ясно.Я понемаю што это анти -шпион,но по факту и всё астольное тоже).

Очень важный скриншот,он может также убивать процессы,убирать из автозагрузки, убивать процессы с подключением к сети, или блокировать входяшие подключение,и многое другое показавает.,

783a4b91ddaf0771da318dd29b84cfe0.jpg

Также проводит голосование SpyNet

5c9bf28c934c824d8258b725a9c8b150.jpg

Пользователи будут тоже, пользоваться результатами в реальном времени.(Такая база данных файлов,пока маленькая,тоесть на плохую программу, обязательно кто нибудь стуканет. )

73ba52634ca30ba316b5d562f9bc9651.jpg

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Windows DEFENDER как антируктит и хипс...однако

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Его же вроде предупреждали, нет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Его же вроде предупреждали, нет ?

Кого? Виталика? Он написл свой пост почти без ошибок и понятно все вроде.:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Последний раз редактировалось: ThreatSense®Vitalik (Пн Дек 31, 2007 9:11 pm), всего редактировалось 7 раз(а)

теперь уже да.

с седьмой попытки то.

но я читал в "оригинале"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Сергей Ильин

Могу еще быть его персональным корректором, чтобы по 7 раз не мучался :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrey

Сергей, спасибо, очень интересный тест.

Кстати, а почему не тестировался новый антируткитный модуль VBA32? Было бы интересно узнать его способности по сравнению с другими программами. Имхо, он вполне заслуживает внимания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кстати, а почему не тестировался новый антируткитный модуль VBA32? Было бы интересно узнать его способности по сравнению с другими программами. Имхо, он вполне заслуживает внимания.

К сожалению, не учли появление нового модуля. Надо было включить.

Если vaber располагает резервом времени, то можно попросить его сделать отдельный тест VBA32 не тех же самплах.

*********************

Пресс-релиз ЛК о победе Антивируса Касперского в нашем тесте оказался более эффективным, чем наш собственный (наш "убили" новогодние праздники). http://webplanet.ru/corporate/security/200...imal_award.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×