Перейти к содержанию

Recommended Posts

Guest Просто_Юзер
Просто_Юзер

Где же я послал на три буквы? И кого? Покажите мне на форуме АМ или на каком-либо другом где я это делал.

И что за влияние? Сон приснился?

Я не буду комментировать этого. Ни в одной теме форума Anti-Malware.ru

Влияние на модераторов имеется,Вы сами мне говорили.Только вылаживать личную переписку я не собираюсь.

Агент

На подобных людей не обижаются

Тест проводил человек, который похоже, только месяц назад узнал что такое антивирус

Later...

Я не оскорблял Вашего товарища. Я наоборот его уважаю за проделанную работу, но...верится как-то не очень.

Вы противоречите сами себе.

Т.к. комментариев от Вас я не дождусь,то мне спокойнее будет на душе.:)

А кстати,изминение старт.страницы браузера,защита есть в одном из продуктов.Только я не буду говорить,т.к. Агент на меня набросится сразу,что мол я рекламирую продукт,опуская продукты Симантек.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Очень жаль. Значит объяснить я Вам ничего не смогу. Тогда не стройте предположений не выяснив ситуации.

И Кстати - я не пользуюсь этим браузером(Internet Exploler)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
По поводу Av-comparatives.org, почитайте старые топики 1-2х годичной давности, там все разложено.

+1

Вы, лично, будете верить любительским тестам, угрозы выявленные в которых не стали глобальными и опасными, как говорили и яростно утверждали тестирующие, или авторитетным тестовым лабораториям?

ж*пу с пальцем не путайте. Я не занимаюсь тестированием сигнатурных детектов. Занимаюсь тестированием самозащит и пдм/хипсов.

Про спорность теста согласен - за все время, что я занимаюсь реверсингом попадающих ко мне малваре я ни разу не встречал itw-образец, использующий стартовую страницу осла для передачи конфиденциальной информации через get-запрос.

Потому я вынужден был потратить несколько минут времени на то, что бы накидать лик-тест, который показывает как это делается (хотя быстрее было это сказать на словах) - то, что он спорный признаю и ссылаюсь на другие АВ-компании - многие такие действия детектируют или пресекают на месте, как говорится. А то, что это не пресекает нортон - это политика компании и не в моей компетенции указывать в какую сторону склонять СОНАР.

и придумывать вымышленные угрозы

естественно такую методику я придумал сам, но это не означает, что угроза вымышленная.

К примеру можно провести тест: у меня есть несколько сайтов (у меня есть в нете маленький бизнес, построенный на рекламе на сайтах - чисто "на пиво"), потому имею несколько тысяч уников в день - можно провести, допустим 10 тысяч загрузки файла, который делает прямой отстук на стату через высокоуровневые API и загрузку лик-теста (также 10к загрузок), который будет уже не пароль записывать, а, допустим, имя компьютера (дабы лик-тест не был признан троянцем) и посмотреть на результаты - у кого больше отстуков будет. Угадайте у кого будет отстуков больше?..

Тут даже такой тест проводить не нужно.

пользователь пришел сюда чтобы проводить антирекламу

Пришел на анти-малваре я по нескольким причинам: пообщаться с Паулем (давно с ним не виделся), пообщаться непосредственно с специалистами АВ-компаний, которых нет на ВИ, познакомится с интересными людьми... и т.д - антиреклама в этот список не входит.

В таком случае меня можно обвинить в рекламе половины существующих АВ-продуктов: есета, аутпоста, OSSS и даже КИСа - какой резон-то?..

А теперь строго по теме:

1). Все-таки, как относится нортон к редактированию файла hosts?

2). Про ГУЙ выше я спрашивал - сказали, что вроде это не есть гуд...

3). Допустим, что если кто-то еще, использующий мой компьютер с нортоном 360 скачает из инета простой кейлоггер (логирует в файл то, что набрано на клаве, ну и буфер обмена), то что на это скажет нортон360? (в смысле реализована ли в нем защита от кейлоггеров - качать лень просто кейлоггеры ;) )

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И Кстати - я не пользуюсь этим браузером(Internet Exploler)

А это и не надо - другие используют. Пинч (вор паролей) не смотрит на то, какой у вас браузер по умолчанию. Он просто знает, что IE есть у всех (кроме одного параноика по имени p2u), и он знает как им пользоваться. Как вы заметили, один раз хватает запускать незаметно этот браузер и пароль отправляется куда не надо. В этом как раз заключается эксперимент.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Я им не пользуюсь абсолютно. То есть паролей и логинов там нет. И Вы не единственный такой параноик.

Кстати, некоторые считают что Internet Exploler сам сдает пароли и логины преступникам(Хотя, это, возможно тест priv8v все-таки прав)

priv8v

Да, поддерживаю. Мне нравится Ваша методика и Ваше увлечение.

Допустим, что если кто-то еще, использующий мой компьютер с нортоном 360 скачает из инета простой кейлоггер (логирует в файл то, что набрано на клаве, ну и буфер обмена), то что на это скажет нортон360? (в смысле реализована ли в нем защита от кейлоггеров - качать лень просто кейлоггеры wink.gif )

Насколько мне известно реализована. Кстати для этого даже есть Identity Safe, (По сравнению с виртуальной клавиатурой убивает сразу трех зайцев) который сам вводит пароли и логины(которые хранит в зашифрованном виде)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Я им не пользуюсь абсолютно. То есть паролей и логинов там нет. И Вы не единственный такой параноик.

Вы не поняли - я его полностью УДАЛИЛ из системы. У вас он есть, и все плееры, мессенджеры, и пр. используют его для того, чтобы показать вам рекламы... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

А Мне по Вашему он зачем? И кстати, браузером по умолчанию у меня является Firefox - потому что IE у меня тоже нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

http://rapidshare.com/files/216661578/Nort...nstall.rar.html

Агент,ану как Вам такой аргумент...

Боюсь,что не поймёте в чем весь сыр-бор.

Нортон снёсся без мышки. B)

Надо бы хотя бы капчу как в Др.Веб.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Лик-тест простой кейлоггер:

Основан на опросе клавиатуры (т.к ничего проще этого нет). Логирует нажатые клавиши в файл stupid_keylog_log.txt в текущей директории. Логируют только английские буквы - просьба печатать на английском. Больше ничего не делает, т.к на детект кейлоггеров это не должно влиять - т.е на детектирование кейлоггеров не должно влиять разделяет ентерами в логе текст, пишет ли какое окно было активно в момент нажатой клавиши и т.д - это все излишне и может вести к "самозабану" - т.е выкладывание заведомо трояна ведет к забаниваю участника админом, т.е сие действие равно = "самозабан")

Ничего никуда не посылает. Висит в процессах. Завершать приложение через завершение его процесса через диспетчер задач (или любым удобным вам способом).

Если нужен более функциональный кейлоггер для тестирования - пишите в ЛС - выдам такой (т.е прикручу к этому недостающие функции).

Написан на С+winapi. Размер 6 кб. Ничем не упакован.

http://slil.ru/27364151

По моим наблюдениям работает в системе с активным НИС совершенно свободно (т.е без всяких запросов от НИС).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Если бы я верил тестам "авторитетных лабораторий", мы бы здесь свои тесты не проводили.

Я и мы понятия несколько разные, учитывая, что Вы не являетесь официальным лицом, проводящим тестирования АВ-продуктов. ;)

А авторитет лаборатории лишь зависит от методологии, качества проведения и желания учиться на ошибках.

Наличие "знакомых" позабыли... ;)

Деление на "авторитетные" и "любительские" тесты считаю некорректным, авторитет понятие очень субъективное.

Сравнительные тестирования АВ-продуктов тоже субъективны. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

priv8v при всем уважении, я все-таки не понимаю что Вы пытаетесь доказать? Если есть образцы угроз, которые NIS не может детектить - то передавайте их в нужном направлении - https://submit.symantec.com/websubmit/retail.cgi. И по-прежнему хочу отметить - ваши тесты действительно очень спорные, по причинам, которые я указывал выше

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Ну почему-же защиты от кейлоггеров нету?

ISP или СОНАР спрашивает,про перехват нажатия клавиш.Правда,я настраивал всё-таки НИС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
priv8v при всем уважении, я все-таки не понимаю что Вы пытаетесь доказать?

Для начала стоит отметить, что я не являюсь работником какой-либо антивирусной компании.

При тестировании любого АВ-продукта я задаюсь лишь одним вопросом - "что я думаю можно улучшить?".

И не нужно меня воспринимать как некоего врага компании симантек.

Ведь, вроде, в одном окопе с Вами сидим.

+ еще вопрос от меня: Вы технический специалист или связаны больше с маркетингом? (просто я до сих пор в недоумении от того, что выше Вы сказали с уверенностью, что изменение стартовой будет прибито СОНАРом, а оно прибито не было - и после этого Вы обозвали мой тест "спорным").

Если есть образцы угроз, которые NIS не может детектить - то передавайте их в нужном направлении

Лучше обсуждать всем вместе. Ведь у меня обычная голова, а не дом советов.

И по-прежнему хочу отметить - ваши тесты действительно очень спорные, по причинам, которые я указывал выше

Выше я уже написал о том, что я осознал некоторые моменты - например то, что отсутствие детекта изменения стартовой это просто политика компании - спрашивать поменьше и это действие не является критичным, т.к я не думаю, что компания симантек встречала трояны, действующие по принципу моего лик-теста - т.е некая спорность есть, но больше философии - т.е детектить изменение стартовой или нет. Кто-то это дело палит, а кто-то нет.

Но вы упомянули лик-тесты во множественном числе. А их было всего два. Тему про startpage в осле мы уже закончили. Остался открытым вопрос кейлоггеров.

Чем спорен мой лик-тест? Неужели прямо и четко не сказать, что это такая политика компании - не напрягать юзера - пусть кейлоггер работает, но юзер спит спокойно (меньше знает - крепче спит).

Или с технической реализации мой кейлоггер спорен? Я разве юзал какие-то недокументированные функции? Или хитро грузил драйвер-фильтр для этих целей? Нет. Все реализовано в одном ЕХЕшнике.

Выше Вы упоминали про многие факторы - из этого можно сделать вывод о том, что просто кейлогга недостаточно. Поэтому привожу пример приложения, действия которого ничем не отличаются от стандартного кейлоггера:

1). логирование нажатых клавиш

2). слежение за буфером обмена

3). запись в каком окне был набран текст

Все логируется в файл в формате штмл для удобного просмотра. На эту поделку те аверы, которые пробуют хоть как-то детектировать деятельность кейлоггеров, орут до хрипоты и слез.

http://slil.ru/27366634

Размер сильно увеличился - теперь приложение весит целых 8 Кб.

Теперь завершить работу кейлоггера можно нажав на кнопку 0 на клавиатуре с циферками (около кнопки num lock). Нужно что бы огонек клавиши нум лок горел. - Не знаю как объяснить более понятно на что нужно нажать :huh:

И самое важное: все-таки, в НИС 360 (видимо в СОНАРе) есть детект кейлоггерских действий или нет? (просто если нет, то что мы тогда тестим, а если есть, то получается не ясно что он делает, раз не палит такой простой кейлоггер).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Хм...спокойно запустился,НИС даже ничего не сказал,что кейлоггер.

А остальные,типа КВП Инфиум,задалбывает вопросами.А тут тишина...

Кхм...

Видео надо,или на слово поверите?

Просто траффик не очень хочется расходовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v Просто_Юзер

Этот тест спорный - мягко сказано...ОЧЕНЬ мягко. А кстати - наконец-то ты вспомнил что ты антифан Symantec.(Просто Юзер)

Идею Вашу поддерживаю. Но пока эти Ваши тесты - очень спорные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Malware Defender еще до набора текста, сразу после запуска, вопил "попытка получить низкоуровневый доступ к клавиатуре!" до тех пор, пока я не разрешил убить процесс. Да и менее мощная хипса должна такие вещи брать, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

У меня кстати, был на компьютере и KIS 2009 и NIS 2009. Работа второго по убиванию кейлоггеров мне показалась намного лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ priv8v:

Уже было несколько намёков на то, что ваши старания здесь не очень воспринимаются. Norton 360 3.0 - готовый продукт, и что-нибудь изменить в уже готовом продукте всё равно не будут. Нет смысла напрягаться и отдельные трюки вести в базы - это бесконечный процесс, и вообще тяжёлая работа, которая на самом деле должна оплачиваться. Предлагаю остановиться на это. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Некоторые, лично мной - воспринимаются. Но большинство лик-тестов - просто абсурд. К тому же NIS не будет говорить про кейлоггер. Все можно увидеть в отчетах если интересно. Некоторые антивирусы просто изматывают своими многочисленными алертами на подобные пустяки(уязвимости, перехваченное вторжение, нахождение спама и прочие мелочи мешающие спокойной работе пользователя)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Какое большинство? тут большинства быть не может априори - тестов было всего два. Попробуйте выделить из них большинство. Это полтора выходит что ли? :lol:

Agent, я не вижу от Вас аргументов. Чем спорен этот простой кейлоггер?..

Прошу помощи:

мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Нет смысла напрягаться и отдельные трюки вести в базы

Зайцев Олег думает иначе (хотя и структура АВ-лаборатории и самого антивируса там другая) - достаточно написать лик-тест или просто словами описать возможную уязвимость и он уже правит это дело в правилах эмулятора - со следующими обновлениями SR подобных действий считается иначе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Вы технический специалист или связаны больше с маркетингом?

Кирилл Керценбаум старший технический консультат в России и странах СНГ. Думаю он разбирается в продуктах Norton в десятки раз лучше любого находящегося здесь пользователя.

мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Вы считаете, что продукты Symantec Corporation, которые занимают лидирующие место на рынке домашнего АВ-ПО не обеспечивают защиту от такой мелочи? ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Вы считаете, что в продуктах Symantec, которые занимают лидирующие место на рынке домашнего АВ-ПО не обеспечивают защиту от такой мелочи?

Всё-таки видео наверное мне надо снимать...пусть у меня сейчас и НИС,но всё же.А там видно уже будет.Отчёты,и СОНАР-ы,и т.п.

А начал я эту кашу только из-за одногоче человека,не буду переходить на личность.<_<

Похоже я увлёкся.

А кстати - наконец-то ты вспомнил что ты антифан Symantec.(Просто Юзер)

Уже "на ты",хорошо.

Я разочаровался в в одном из тестов в Симантек.Да и вообще,почему я отчитыватся должен перед тобой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Насколько я понял, SONAR - программа с немного другим назначением: это больше zero-day protection, а не анти-лик модуль (Sonar - wikipedia). Кирилл скажет точнее. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Ну, естественно, Проактивная защита типо SONAR-а не занимается этим. В отличие от Касперского, где этим занимается поведенческий блокиратор.

Разумеется, в самом Norton есть защита от кейлоггеров.

Просто_Юзер

Я в этом убедился еще пару дней назад, когда кто-то(не помню кто :rolleyes:) сказал что у Symantec детектирование вирусов - 40%...Хотя тесты показывают обратное. Результат в два с половиной раза больший.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Просто_Юзер

Я в этом убедился еще пару дней назад, когда кто-то(не помню кто ) сказал что у Symantec детектирование вирусов - 40%...Хотя тесты показывают обратное. Результат в два с половиной раза больший.

Я пытался немного "спустить" тебя на землю.Ты летаешь в облаках,думая,что всё круто в Симантек. <_< Надо немного реалии,а не только заоблачные тесты.

Хотя тесты показывают обратное.

Тесты-тесты...да забей ты на тесты!Взгляни правде в глаза.Тесты - не всегда эталон качества.

Может "забугорные" сигнатуры и круто детектятся,но разговор идёт о СНГ.Я упоминал об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×