Elusion

Подготовка к внеплановому тесту

В этой теме 31 сообщений

Появилось желание и свободное время для нового теста.

Выше читал, что участникам конференции хотелось бы тоже поучавствовать в обсуждении нового теста.

Собственно по новому тесту.

Прочитал и осмыслил все доводы экспертов выше (если я правильно понял что это эксперты). Учту.

Хотел бы услышать предложения по поводу методологии тестирования и, собственно, каких непосредственных участников включить тест (Зараза, АВ-ы). Если будет проще обговорить, так сказать, на прямую, то вот ася: 487-498-794.

Если модератор сочтет что новый тест лучше будет выглядеть в новой теме, прошу перенести пост.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для начала надо определиться - какой тип теста Вы хотите провести.

Обычный скан on-demand кучей продуктов по большой или не очень коллекции или динамический тест на небольшом наборе, но с запуском каждого зловреда под каждым продуктом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Размер и сложность теста меня не сильно пугают. Можно попробовать сделать тест, который охватит несколько методологий, соединяя в общий вывод или краткий анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Размер и сложность теста меня не сильно пугают. Можно попробовать сделать тест, который охватит несколько методологий, соединяя в общий вывод или краткий анализ.

Если сложность не пугает, то я бы порекомендовал провести динамический тест.

Возникают следующие вопросы:

Проводить ли тест на реальных компьютерах или виртуальных? Сразу скажу, что лучше на реальных, потому что на виртуальных не только малвара хуже работает, но и некоторые продукты.

Вопрос по поводу самплов. Кто будет проверять что все протестированные самплы действительно вредоносны, а не какие-нибудь кейгены или даже фолс-позитивы.

Эта титаническая работа будет проведена самостоятельно или будем кому-нибудь доверять?

В последнем случае тест будет явно или неявно давать преимущества кому-нибудь из вендоров, потому что абсолютно независимых профессионалов не бывает.

Только какой-нибудь вендор, который не будет участвовать в тестировании.

Отдельный вопрос и откуда брать самплы. С этим вопросом также возникают упомянутые выше проблемы.

Дальше пока расписывать не буду, так как надо прояснить эти вопросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Проводить ли тест на реальных компьютерах или виртуальных? Сразу скажу, что лучше на реальных, потому что на виртуальных не только малвара хуже работает, но и некоторые продукты.

У меня такое впечатление всегда было, но часто эксперты (особенно те из маркетинговых отделов) отрицают это. У вас есть более подробные данные об этом? Спасибо.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Паул, я как тестер могу подтвердить, что на виртуальных машинах продукт может вести себя иначе, чем на реальных. А то, что многие малвары детектят, что они запущены в виртуальных машинах - так это подтвердит любой вирусный аналитик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а может стоит тест провести на поддержку упаковщиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

То, что АВ на виртуальных машинах работают, в некоторых случаях, не корректно - можно с уверенностью сказать. Точных фактов привести сейчас не могу, но опыт показывает что есть определенные проблемы в работе АВ. Не правильный детект - 1ое что "кидается" в глаза.

У меня имеется в наличии 3 реальных машины. Конфигурации описаны в моем предыдущем тесте.

Вопрос по поводу самплов. Кто будет проверять что все протестированные самплы действительно вредоносны, а не какие-нибудь кейгены или даже фолс-позитивы.

Эта титаническая работа будет проведена самостоятельно или будем кому-нибудь доверять?

В последнем случае тест будет явно или неявно давать преимущества кому-нибудь из вендоров, потому что абсолютно независимых профессионалов не бывает.

Только какой-нибудь вендор, который не будет участвовать в тестировании.

Отдельный вопрос и откуда брать самплы. С этим вопросом также возникают упомянутые выше проблемы.

В первом моем тесте было очень много доводов со стороны зарекомендовавших себя участников портала, почему коллекция <<зловредов>> взята НЕ правильно и НЕ актуально. Поэтому, я надеюсь, аналитики и специалисты anti-malware подскажут мне, что именно и где именно брать. Во всяком случае я рассчитываю на помощь.

А проверка на "реальность" угрозы, дело второе. Это не проблема и доверять это никому не надо. Проверю сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что и где брать Вам не подскажут. Есть закрытый раздел, доступ к которому строго ограничен. Поддерживаю идею тестов упаковщиков. Ибо дааавно теста этого не было. А он интересен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идея теста упаковщиков мне не нравится. Ибо не сильно она отражает реальную, жизенную ситуацию, когда пользователь хватает заразу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Превосходно отражает две ситуации:

1. Как АВ берут различные пакеры/крипторы. Может сигнатуру поверх кладут и все? Тогда в день можно клепать сотни вредоносов из одного и того же.

2. Уровень фолсов. По ссылке я тему не просто так привел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В первом моем тесте было очень много доводов со стороны зарекомендовавших себя участников портала, почему коллекция <<зловредов>> взята НЕ правильно и НЕ актуально. Поэтому, я надеюсь, аналитики и специалисты anti-malware подскажут мне, что именно и где именно брать. Во всяком случае я рассчитываю на помощь.

имхо единственными адекватный способ найти где-то коллекцию - это взять ее у вендора, который не будет принимать участие в тестировании (при этом должна быть увернность, что у вендра нет желания просадить какого-то конкурента).

а почему бы вам не договориться с VBA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
имхо единственными адекватный способ найти где-то коллекцию - это взять ее у вендора, который не будет принимать участие в тестировании (при этом должна быть увернность, что у вендра нет желания просадить какого-то конкурента).

а почему бы вам не договориться с VBA?

Вариантов то полно можно напридумывать, только будут ли они работать.

можно вообще, если связи позволяют, собрать самплов с кучи вендоров (кто будет участвовать в тесте).

И взять в тест только те самплы, которые прислали два и более вендоров.

Большинство из них как раз сидит сейчас у меня перед глазами ;) .

И обсуждают методологии тестирования :) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И обсуждают методологии тестирования :) .

AMTSO meeting, Оксфорд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AMTSO meeting, Оксфорд?

В точку.

Неплохое здание у Софоса.

И, кстати, VB обитает в этом же здании.

К вопросу об аффилированности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кое–что смогу подбросить из моей коллекции.

наверно и другие форумчане не откажутся.

как говорится, с миру по нитке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо тем, кто проявляет инициативу. Тогда давайте сделаем так.

У кого есть Реальная актуальная зараза прикрепляет её на файлообменнике на dump.ru к примеру. Кидает мне ссылку в эту тему или ПМ и краткое описание заразы.

Связей с вендорами нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я вынужден напомнить, что такой вот обмен очень сильно граничит с нарушением УК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Umnik

Я понимаю что это не правовой форум, но можно узнать по какой статье запрещен обмен ПО состоящий в разряде freeware :-)

ПО, которое расспространяется бесплатно, в добавок ко всему само... паразитируя по машинам глобальной сети (к примеру)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

;)

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -

наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

так, друзья, распространять вредоносное ПО и ссылки на него здесь не следует. это нарушает уголовное законодательство и противоречит правилам форума. все ссылки и вложения, содержащие указанный контент будут удаляться

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это - распространение вредоносных кодов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

под 273 статью попадают все пользователи, которые запускают у себя зловредов ^_^

А как говорится - не знание(что это зловреды) не освобождает от ответственности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все неверно! Норма предполагает умысел...

Предлагаю, в дальнейшем, не выходить за рамки обсуждаемой темы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • klubochek
      Подскажите подлежат ли ремонту смартфоны масунг? В пятницу забрала дочку со школы всю в слезах. В школе не стала уточнять что к чему, на простой вопрос что случилось – только слезы. Дома показывает мне свой телефон – экран разбит. Телефон не включается. Что произошло толком не рассказывает. Но это уже буду говорить с учителем. Самое обидное что это был ее долгожданный подарок. Подарили только на 8 марта. Если ремонт возможен , какая может быть его стоимость?
    • klubochek
        Ну у меня пока такого опыта совсем нет. Хотя здесь особого ума не нужно что бы понять что чтобы не подтекала душевая кабина нужна герметичности стыковочный компонентов. В данном случае примыкание дверцы и стенок душевой. Если верить вашему опыту – у вас достаточно не плохой вариант душевой. Какой марки брали?
    • PR55.RP55
      1) В лог писать по состоянию защитника Windows: Вкл/Выкл.  2) Добавить возможность: Вкл/Выкл.  для защитника Windows https://www.comss.ru/page.php?id=2698
    • senyabesfamilni
      В игре второй месяц.Очередная выплата!!!Много не вывожу,так как пока развиваю курятник. на данный момент 3 курочки, 1,2 и 3 уровня. 3 уровня снова взята в кредит,так же как и второго по которой кредит закрыт на ЗАРАБОТАННЫЕ В ИГРЕ ДЕНЬГИ!!! ПРИГЛАШАЮ В СВОЮ КОМАНДУ - ПОМОЩЬ ГАРАНТИРУЮ  - ид=139467
       
    • DinaMItVV
      Интересная ссылка.