Перейти к содержанию
Elusion

Подготовка к внеплановому тесту

Recommended Posts

Elusion

Появилось желание и свободное время для нового теста.

Выше читал, что участникам конференции хотелось бы тоже поучавствовать в обсуждении нового теста.

Собственно по новому тесту.

Прочитал и осмыслил все доводы экспертов выше (если я правильно понял что это эксперты). Учту.

Хотел бы услышать предложения по поводу методологии тестирования и, собственно, каких непосредственных участников включить тест (Зараза, АВ-ы). Если будет проще обговорить, так сказать, на прямую, то вот ася: 487-498-794.

Если модератор сочтет что новый тест лучше будет выглядеть в новой теме, прошу перенести пост.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Для начала надо определиться - какой тип теста Вы хотите провести.

Обычный скан on-demand кучей продуктов по большой или не очень коллекции или динамический тест на небольшом наборе, но с запуском каждого зловреда под каждым продуктом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Elusion

Размер и сложность теста меня не сильно пугают. Можно попробовать сделать тест, который охватит несколько методологий, соединяя в общий вывод или краткий анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Тема выделена из этой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Размер и сложность теста меня не сильно пугают. Можно попробовать сделать тест, который охватит несколько методологий, соединяя в общий вывод или краткий анализ.

Если сложность не пугает, то я бы порекомендовал провести динамический тест.

Возникают следующие вопросы:

Проводить ли тест на реальных компьютерах или виртуальных? Сразу скажу, что лучше на реальных, потому что на виртуальных не только малвара хуже работает, но и некоторые продукты.

Вопрос по поводу самплов. Кто будет проверять что все протестированные самплы действительно вредоносны, а не какие-нибудь кейгены или даже фолс-позитивы.

Эта титаническая работа будет проведена самостоятельно или будем кому-нибудь доверять?

В последнем случае тест будет явно или неявно давать преимущества кому-нибудь из вендоров, потому что абсолютно независимых профессионалов не бывает.

Только какой-нибудь вендор, который не будет участвовать в тестировании.

Отдельный вопрос и откуда брать самплы. С этим вопросом также возникают упомянутые выше проблемы.

Дальше пока расписывать не буду, так как надо прояснить эти вопросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Проводить ли тест на реальных компьютерах или виртуальных? Сразу скажу, что лучше на реальных, потому что на виртуальных не только малвара хуже работает, но и некоторые продукты.

У меня такое впечатление всегда было, но часто эксперты (особенно те из маркетинговых отделов) отрицают это. У вас есть более подробные данные об этом? Спасибо.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Паул, я как тестер могу подтвердить, что на виртуальных машинах продукт может вести себя иначе, чем на реальных. А то, что многие малвары детектят, что они запущены в виртуальных машинах - так это подтвердит любой вирусный аналитик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а может стоит тест провести на поддержку упаковщиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Elusion

То, что АВ на виртуальных машинах работают, в некоторых случаях, не корректно - можно с уверенностью сказать. Точных фактов привести сейчас не могу, но опыт показывает что есть определенные проблемы в работе АВ. Не правильный детект - 1ое что "кидается" в глаза.

У меня имеется в наличии 3 реальных машины. Конфигурации описаны в моем предыдущем тесте.

Вопрос по поводу самплов. Кто будет проверять что все протестированные самплы действительно вредоносны, а не какие-нибудь кейгены или даже фолс-позитивы.

Эта титаническая работа будет проведена самостоятельно или будем кому-нибудь доверять?

В последнем случае тест будет явно или неявно давать преимущества кому-нибудь из вендоров, потому что абсолютно независимых профессионалов не бывает.

Только какой-нибудь вендор, который не будет участвовать в тестировании.

Отдельный вопрос и откуда брать самплы. С этим вопросом также возникают упомянутые выше проблемы.

В первом моем тесте было очень много доводов со стороны зарекомендовавших себя участников портала, почему коллекция <<зловредов>> взята НЕ правильно и НЕ актуально. Поэтому, я надеюсь, аналитики и специалисты anti-malware подскажут мне, что именно и где именно брать. Во всяком случае я рассчитываю на помощь.

А проверка на "реальность" угрозы, дело второе. Это не проблема и доверять это никому не надо. Проверю сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Что и где брать Вам не подскажут. Есть закрытый раздел, доступ к которому строго ограничен. Поддерживаю идею тестов упаковщиков. Ибо дааавно теста этого не было. А он интересен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Elusion

Идея теста упаковщиков мне не нравится. Ибо не сильно она отражает реальную, жизенную ситуацию, когда пользователь хватает заразу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Превосходно отражает две ситуации:

1. Как АВ берут различные пакеры/крипторы. Может сигнатуру поверх кладут и все? Тогда в день можно клепать сотни вредоносов из одного и того же.

2. Уровень фолсов. По ссылке я тему не просто так привел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
В первом моем тесте было очень много доводов со стороны зарекомендовавших себя участников портала, почему коллекция <<зловредов>> взята НЕ правильно и НЕ актуально. Поэтому, я надеюсь, аналитики и специалисты anti-malware подскажут мне, что именно и где именно брать. Во всяком случае я рассчитываю на помощь.

имхо единственными адекватный способ найти где-то коллекцию - это взять ее у вендора, который не будет принимать участие в тестировании (при этом должна быть увернность, что у вендра нет желания просадить какого-то конкурента).

а почему бы вам не договориться с VBA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
имхо единственными адекватный способ найти где-то коллекцию - это взять ее у вендора, который не будет принимать участие в тестировании (при этом должна быть увернность, что у вендра нет желания просадить какого-то конкурента).

а почему бы вам не договориться с VBA?

Вариантов то полно можно напридумывать, только будут ли они работать.

можно вообще, если связи позволяют, собрать самплов с кучи вендоров (кто будет участвовать в тесте).

И взять в тест только те самплы, которые прислали два и более вендоров.

Большинство из них как раз сидит сейчас у меня перед глазами ;) .

И обсуждают методологии тестирования :) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
И обсуждают методологии тестирования :) .

AMTSO meeting, Оксфорд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
AMTSO meeting, Оксфорд?

В точку.

Неплохое здание у Софоса.

И, кстати, VB обитает в этом же здании.

К вопросу об аффилированности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

кое–что смогу подбросить из моей коллекции.

наверно и другие форумчане не откажутся.

как говорится, с миру по нитке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Elusion

Спасибо тем, кто проявляет инициативу. Тогда давайте сделаем так.

У кого есть Реальная актуальная зараза прикрепляет её на файлообменнике на dump.ru к примеру. Кидает мне ссылку в эту тему или ПМ и краткое описание заразы.

Связей с вендорами нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я вынужден напомнить, что такой вот обмен очень сильно граничит с нарушением УК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Elusion

Umnik

Я понимаю что это не правовой форум, но можно узнать по какой статье запрещен обмен ПО состоящий в разряде freeware :-)

ПО, которое расспространяется бесплатно, в добавок ко всему само... паразитируя по машинам глобальной сети (к примеру)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax

;)

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -

наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

так, друзья, распространять вредоносное ПО и ссылки на него здесь не следует. это нарушает уголовное законодательство и противоречит правилам форума. все ссылки и вложения, содержащие указанный контент будут удаляться

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

это - распространение вредоносных кодов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

под 273 статью попадают все пользователи, которые запускают у себя зловредов ^_^

А как говорится - не знание(что это зловреды) не освобождает от ответственности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Все неверно! Норма предполагает умысел...

Предлагаю, в дальнейшем, не выходить за рамки обсуждаемой темы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×