Как приблизить "синтетические тесты" к реальным условиям

[Andrey75 0]

"Ну так достаточно сунуться в любой файлообменник- там такого добра навалом!"

Можно и из файлообменников качать, главное что бы кряки были "свежими"

Данный тест как раз и будет не плохо имитировать обычного пользователя, особенно если учитывавть процент пиратсткого софта

[vidocq89 0]

Тогда можно сделать всё гораздо проще- ходить по всем линкам

мысль неплохая, но по каким линкам ходить?

предлагаю вбить в яндекс запросы типа

скачать порно

и

скачать варез

(что-нибудь типа того) и уже начать лазать по ссылкам....

1. выбрать наиболее распространённый софт (где то 150-200 программ)

2. скачать к каждой программе (последние версии) по 5-10 кряков.

вам может жутко не повезти в том плане, что если вы наткнетесь на нормальный сайт, то там кряки будут чистыми (без заразы) почти все...

[Andrey75 0]

"вам может жутко не повезти в том плане, что если вы наткнетесь на нормальный сайт, то там кряки будут чистыми (без заразы) почти все..."

Назовите хоть один 100% чистый варезник.

Есть такая прога Crack Downloader, которая автоматом ищет кряки на разных варезниках. Я не думаю что все(5-10) кряков у (100-200) прог будут чистыми.

[vidocq89 0]

1. Клевета!!! я не говорил про 100% чистый варезник...

(я говорил лишь о большинстве)

2. Про софт для скачки кряков разговора не было, но раз уж зашел, то соглашусь, что через нее можно скачать бесплатно себе на комп очень много вирья...

PS: напишу в ПМ

[Илья Рабинович 521]

мысль неплохая, но по каким линкам ходить?

Да по всем, что только можно наковырять в Инете! Потом отсортировать по функционалу (например, 20 троянов, 20 бекдоров, 20 адварей и т.д.), воспроизвести условия заражения на внутреннем тестировочном сервере и зайти тудя уязвимой системой- путём анализа можно будет точно сказать, какая именно конфигурация будет целевой именно для данного семпла.

[vidocq89 0]

аааа.... значит ходить до посинения?.. т.е до тех пор пока не наберем нужное кол-во зловредов... хм... ну тогда правда вроде неплохая идея...

хотя смотря как за нее взяться

[Илья Рабинович 521]

Ну зачем до посинения? Достаточно будет выбрать образцов 40-50 каждого вида и затем- выборка половины случайным образом. Да, достаточно трудоёмкий процесс, но и дальнейшее тестирование будет не менее трудоёмким- особенно, если это будет именно проверки работы HIPS-защит.

[Сергей Ильин 1538]

Ну зачем до посинения? Достаточно будет выбрать образцов 40-50 каждого вида и затем- выборка половины случайным образом.

Пропорции по типам вредоносов в коллекции придется брать в соответствие с опубликованной аналитикой, например, отчетами Symantec. Уязвимый момент - выборка случайным образом. Если из 40 брать 20, то результаты не всегда могут быть устойчивыми. Каждый потом будет говорить, что выборка нерепрезентативна.

[vidocq89 0]

но по-моему 40 каждого вида - это слишком много...

думаю по 10 достаточно .. к тому же по 40 каждого вида трудновато набрать будет .. будет перебор в каком-то одном виде а в другом будет меньше... а вот по 10 думаю будет без проблем набрать

[Сергей Ильин 1538]

Я думаю такой тест стоит проводить по такой схеме:

1. Определить состав тестовой коллекции (типы угроз и их веса, пропорции видов в коллекции, выбор источников)

2. Установить все тестируемые продукты

3. Запускать каждый сампл по мере его поступления в коллекцию, при этом базы антивирусов держать актуальными

[Илья Рабинович 521]

Да, можно и так. Только "выбор источников" должен исключать пункт "из коллекций вендоров".

[Сергей Ильин 1538]

А как на счет выборки сервис провайдеров, например, MessageLabs того же или Kaspersky Hosted Security?

Там за пару суток можно наловить я думаю столько линков, что не соберешь руками за месяц. Если таких источников будет несколько, то это может существенно повысить качество коллекции.

[Илья Рабинович 521]

Ну, если будет несколько независимых источников 0-day - да, здорово. Вопрос только в одном- как получить к ним доступ сразу к нескольким?