Подготовка теста фаерволов

[vaber 350]

и Авиру

ок

вот и прекрасно, что отобраны.

хотелось-бы знать, какие отобраны семплы и какие методы записи в нулевой ринг они используют.

Какие семплы отобраны? Этобраны самые разные - загрузчики, руткиты, трояны.

Методы, подробно сейчас и после публикации, освещаться не будут, чтобы не было повадно

Кратко:

CopyFileW_ZwLoadDriver

CreateFileA_StartServiceA

CreateFileA_SCM

KnownDlls

CreateFileA_RPC

NtSystemDebugControl

\Device\Physicalmemory

CreateFile_ZwSetSystemInformation

Если есть что добавить - всегда рад

а где :

DefenseWall HIPS

McAfee Host Intrusion Prevention for Windows

Думаю в тест фаерволов и комбаинов чисто хипс не стоит лепить. Лучше с ними сразу же после фаерволов провести на этих же семплах отдельный тест и опубликовать.

А как тест проводить на максимальных настройках? Есть идеи? Вот, например, некий фаерволов на максимальных настройках выдает алерт на создание любого процесса. Ему что - сразу 100% результат вписывать?

[Александр Шабанов 120]

Лучше с ними сразу же после фаерволов провести на этих же семплах отдельный тест и опубликовать.

Провести можно сразу, чтобы ресурсы оптимизировать.

А анализ результатов и публикацию сделать разную

[Илья Рабинович 521]

Прекрасная программа, но она на виртуалке не будет работать.

У всех работает.

Потом - не файрвол.

А вот это- в точку. Outbound protection будет только в 2.50 версии.

[p2u 824]

У всех работает.

О... А я исходил из предупреждения на сайте www.softsphere.com/ :

Program doesn't work under VMWare/VirtualPC emulators.

Программа не работает под виртуальными машинами VMWare/VirtualPC.

Paul

[Илья Рабинович 521]

О... А я исходил из предупреждения на сайте www.softsphere.com

Так это для DefencePlus. Да, он под виртуалками не работает. А DefenseWall очень даже да, ибо не модифицирует систему столь глубоко.

[sergey888 20]

1) Outpost Security Suite (или фаервол - в тест антиспаварный/антивирусный модули будут отключены, чтобы не мешали запуску вредоносных программ; тестируется HIPS-компонента, а не сигнатурный детект)

2) Online Armor

3) Comodo Firewall (или CIS)

4) ProSecurity

5) Privatefirewall

6) KIS

7) Netchina

8) PC Tools Firewall

9) Jetico

10) NIS

Поддерживаю. Набор то что надо.

А то что известные или не известные не в том суть. Суть в конечных результатах.

а эти вообще в народе почти и неизвестны=))

2) Online Armor

4) ProSecurity

5) Privatefirewall

7) Netchina

Я бы не сказал что уж такие неизвестные.

А главное Online Armor и ProSecurity(в настоящее время Real-time Defender Professional) отличные представители программ своего класса.

Ок, добавим тогда еще это:

Trend Micro Internet Security

McAfee Internet Security

F-Secure Internet Security

Panda Internet Security

ESET Smart Security

Ничего не имею против добавления, но лично для меня и без этого первый список более чем подходящий.

[p2u 824]

Боюсь, что если взять DefenseWall и ProSecurity, то тогда почти нельзя не тестировать другие программы HIPS, такие как ProcessGuard, SSM, AntiHook, и другие. Мне казалось, что фокус был на файрволы/комбайны, которые предлагают что-то похоже на HIPS, и которые рекламируются, будто дают полную защиту. Мне кажется неразумно отходить от этой схемы...

Paul

[sergey888 20]

Боюсь, что если взять DefenseWall и ProSecurity, то тогда почти нельзя не тестировать другие программы HIPS, такие как ProcessGuard, SSM, AntiHook, и другие. Мне казалось, что фокус был на файрволы/комбайны, которые предлагают что-то похоже на HIPS, и которые рекламируются, будто дают полную защиту. Мне кажется неразумно отходить от этой схемы... smile.gif

Paul

Но заметьте на matousec ProSecurity всегда тестировался как фаервол. Кстати я всегда удивлялся почему.

[p2u 824]

А как тест проводить на максимальных настройках? Есть идеи? Вот, например, некий фаерволов на максимальных настройках выдает алерт на создание любого процесса. Ему что - сразу 100% результат вписывать?

По принципу ликтестов надо, как мне кажется - по крайне мере разрешить запуск, иначе сам тест не состоялся... Дело в том, что предупреждается об абстрактном процессе - мы же якобы не знаем, что это настоящий зловред? А строго говоря (в целях нашего теста) можно бы даже продолжать нажать 'ОК' (действие по умолчанию для простого пользователя когда он получает алерт) до момента запроса об установке драйвера - это как раз ответственный момент, который должен предупредить пользователя о том, что здесь что-то не то (угроза потеря полного контроля). Если файрвол/комбайн в такой момент может ещё предотвратить установку драйвера когда вы нажимаете 'Нет', то тогда он прошёл тест. Я считаю, что это должен быть единственный параметр по которому можно набрать балы в тесте, где фокус 'загрузка драйвера и снятие перехватов'.

Paul

[Mike 125]

Методы, подробно сейчас и после публикации, освещаться не будут, чтобы не было повадно

Боишся, что пособие для начинающих вирусописателей получится ???

Если боишся, выкладывай инструкцию в закрытый раздел.

Поскольку там не начинающие сидят, а профи

И вообще народ требует хлеба и зрелищ.

[Сергей Ильин 1538]

Давайте подводить итоги по методологии теста.

1. Алгоритм тестирования

2. Состав продуктов

3. Подведение итогов (трактовка результатов)

Про пункт 3 никто еще вообще ничего не говорил.

[vaber 350]

Следующие продукты попали в сравнение:

PC Tools 5.0.0.38

Jetico 2.0.2.8.2327

Online Armor Premium 3.0.0.190

KIS 8.0.0.506

OSS 6.5.3 (2518.381.0686)

Comodo IS 3.8.65951.477

также в список вредоносных программ был добавлен bootkit - попытка открытия диска на raw-чтение (модификация mbr).

Продукты будут использоваться с максимальными настройками, которые можно задать в интерфейсе не используя ручную модификацию настроек. (исключение KIS - в нем в ручную вредоносные программы будут помещаться в зону со слабыми ограничениями, т.к. иначе хипс заносит все вредоносы в недоверенные, что блокирует их выполнение). При запуске малвар обращается внимание только лишь на действия связанные с проникновением в ring 0, все остальные действия игнорируются.

Подробной информации о способах проникновения не будет - будет лишь приведена инфа о имени используемых семплов по классификации ЛК, степень распространенности в ITW того или иного способа и субъективная оценка кол-ва алертов со стороны продуктов на различные действия легитимных приложений.

З.Ы. В сравнение не попадут продукты, которые выдают алерты на каждый чих, продукты, в которых хипс и файловый монитор не могут работать отдельно друг от друга, а так же непопулярные продукты.

[yura5 5]

мне было бы очень интересно увидеть тест Kerio ( http://www.kerio.net.ru/kpf/kpf4_rus_home.html ), мне он кажется очень удобным и информативным, к тому же есть русификатор, что для меня ОЧЕНЬ важно...

[dr_dizel 385]

Следующие продукты попали в сравнение:

Jetico 2.0.2.8.2327

З.Ы. В сравнение не попадут продукты, которые выдают алерты на каждый чих

Уже давно перестал понимать почему тесты портала называются одним образом, а тестируется совсем другое. Почему тестируется hips, а пишется фаерволов? Ну да ладно.

Есть хороший продукт - Malware Defender. Конечно, его нужно уметь настроить, но не сложнее Jetico. У него хорошие результаты. Почему его не взяли?

[vaber 350]

Уже давно перестал понимать почему тесты портала называются одним образом, а тестируется совсем другое.

Ну сменим название

Есть хороший продукт - Malware Defender.

Почему его не взяли?

А что это?

Jetico тоже можно было бы не брать - это параноик, а не хипс.

[dr_dizel 385]

Jetico тоже можно было бы не брать - это параноик, а не хипс.

А может дело в том, что некоторые продукты автополунастраиваемы, а для настройки других нужно хорошенько поработать головоруками? Причём результат будет сильно зависеть от настройщика.

Может лучше как-то разделять такие продукты? Но игнорировать их не думаю что правильная идея. Можно, например, ввести некий параметр - простота настройки.

[Umnik 997]

Можно, например, ввести некий параметр - простота настройки. rolleyes.gif

И играть с ним как угодно? Сложно его оценить

[vaber 350]

а для настройки других нужно хорошенько поработать головоруками?

И как Вы представляете эту самую работу среднестатистического пользователя? А тот кто может его настроить и это будет не лень -скорее предпочтет работать под пользовательской учеткой - гемора и то куда меньше будет.

Но игнорировать их не думаю что правильная идея.

Вот Jetico как самый известный и попал в сравнение...

[dr_dizel 385]

И играть с ним как угодно? Сложно его оценить

Это да. Но часто возможности продукта влияют на простоту настройки. Если контора небольшая, то базу настроек часто некому создавать. Получается, что продукт может быть очень сильным, но им мало кто пользуется. Как такое оценить? Тут либо как-то логически группировать или делить тест на два подтетса либо вводить чисто справочный параметр - простота настройки. Я бы разделил на тест hips-автоматов и hips-инструментов.

[Ego1st 95]

чего-то мало для теста fw. получиться обзор какой-то..

[vaber 350]

Получается, что продукт может быть очень сильным, но им мало кто пользуется.

хы. По-хукать все что можно и продукт становиться сильным?? Ню-ню. Сильный тот продукт, который сильно не мучает пользователя вопросами и в тоже время эффективный.

чего-то мало для теста fw. получиться обзор какой-то..

Название сменим. Это и будет не тест, а сравнение.

[Deja_Vu 366]

"теста фаерволов" превращается...

"теста фаерволов" превращается...

"теста фаерволов" превращается в "сравнение HIPSов"

XD

[p2u 824]

мне было бы очень интересно увидеть тест Kerio ( http://www.kerio.net.ru/kpf/kpf4_rus_home.html ), мне он кажется очень удобным и информативным, к тому же есть русификатор, что для меня ОЧЕНЬ важно...

Могу заранее сказать, что он cдаст тест только нормально если произвести определённые недокументированные настройки, которые обламают принципы атак тестируемых зловредов. Я не думаю, что это должно быть задачей тестеров...

@ vaber

Нормальный набор. Нормальные условия.

Paul

[dr_dizel 385]

хы. По-хукать все что можно и продукт становиться сильным?? Ню-ню. Сильный тот продукт, который сильно не мучает пользователя вопросами и в тоже время эффективный.

Это же чисто субъективная оценка. Если всёзахучивающий продукт можно настроить чтобы он не мучил вопросами пользователя и обеспечивал лучшую защиту по сравнению с автоматами, то силён ли он или слаб?

[vaber 350]

Если всёзахучивающий продукт можно настроить чтобы он не мучил вопросами пользователя

До запуска первого нового приложения, на который не создано правил?