Перейти к содержанию

Recommended Posts

Guest Просто_Юзер
Просто_Юзер

Где же я послал на три буквы? И кого? Покажите мне на форуме АМ или на каком-либо другом где я это делал.

И что за влияние? Сон приснился?

Я не буду комментировать этого. Ни в одной теме форума Anti-Malware.ru

Влияние на модераторов имеется,Вы сами мне говорили.Только вылаживать личную переписку я не собираюсь.

Агент

На подобных людей не обижаются

Тест проводил человек, который похоже, только месяц назад узнал что такое антивирус

Later...

Я не оскорблял Вашего товарища. Я наоборот его уважаю за проделанную работу, но...верится как-то не очень.

Вы противоречите сами себе.

Т.к. комментариев от Вас я не дождусь,то мне спокойнее будет на душе.:)

А кстати,изминение старт.страницы браузера,защита есть в одном из продуктов.Только я не буду говорить,т.к. Агент на меня набросится сразу,что мол я рекламирую продукт,опуская продукты Симантек.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Очень жаль. Значит объяснить я Вам ничего не смогу. Тогда не стройте предположений не выяснив ситуации.

И Кстати - я не пользуюсь этим браузером(Internet Exploler)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
По поводу Av-comparatives.org, почитайте старые топики 1-2х годичной давности, там все разложено.

+1

Вы, лично, будете верить любительским тестам, угрозы выявленные в которых не стали глобальными и опасными, как говорили и яростно утверждали тестирующие, или авторитетным тестовым лабораториям?

ж*пу с пальцем не путайте. Я не занимаюсь тестированием сигнатурных детектов. Занимаюсь тестированием самозащит и пдм/хипсов.

Про спорность теста согласен - за все время, что я занимаюсь реверсингом попадающих ко мне малваре я ни разу не встречал itw-образец, использующий стартовую страницу осла для передачи конфиденциальной информации через get-запрос.

Потому я вынужден был потратить несколько минут времени на то, что бы накидать лик-тест, который показывает как это делается (хотя быстрее было это сказать на словах) - то, что он спорный признаю и ссылаюсь на другие АВ-компании - многие такие действия детектируют или пресекают на месте, как говорится. А то, что это не пресекает нортон - это политика компании и не в моей компетенции указывать в какую сторону склонять СОНАР.

и придумывать вымышленные угрозы

естественно такую методику я придумал сам, но это не означает, что угроза вымышленная.

К примеру можно провести тест: у меня есть несколько сайтов (у меня есть в нете маленький бизнес, построенный на рекламе на сайтах - чисто "на пиво"), потому имею несколько тысяч уников в день - можно провести, допустим 10 тысяч загрузки файла, который делает прямой отстук на стату через высокоуровневые API и загрузку лик-теста (также 10к загрузок), который будет уже не пароль записывать, а, допустим, имя компьютера (дабы лик-тест не был признан троянцем) и посмотреть на результаты - у кого больше отстуков будет. Угадайте у кого будет отстуков больше?..

Тут даже такой тест проводить не нужно.

пользователь пришел сюда чтобы проводить антирекламу

Пришел на анти-малваре я по нескольким причинам: пообщаться с Паулем (давно с ним не виделся), пообщаться непосредственно с специалистами АВ-компаний, которых нет на ВИ, познакомится с интересными людьми... и т.д - антиреклама в этот список не входит.

В таком случае меня можно обвинить в рекламе половины существующих АВ-продуктов: есета, аутпоста, OSSS и даже КИСа - какой резон-то?..

А теперь строго по теме:

1). Все-таки, как относится нортон к редактированию файла hosts?

2). Про ГУЙ выше я спрашивал - сказали, что вроде это не есть гуд...

3). Допустим, что если кто-то еще, использующий мой компьютер с нортоном 360 скачает из инета простой кейлоггер (логирует в файл то, что набрано на клаве, ну и буфер обмена), то что на это скажет нортон360? (в смысле реализована ли в нем защита от кейлоггеров - качать лень просто кейлоггеры ;) )

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И Кстати - я не пользуюсь этим браузером(Internet Exploler)

А это и не надо - другие используют. Пинч (вор паролей) не смотрит на то, какой у вас браузер по умолчанию. Он просто знает, что IE есть у всех (кроме одного параноика по имени p2u), и он знает как им пользоваться. Как вы заметили, один раз хватает запускать незаметно этот браузер и пароль отправляется куда не надо. В этом как раз заключается эксперимент.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Я им не пользуюсь абсолютно. То есть паролей и логинов там нет. И Вы не единственный такой параноик.

Кстати, некоторые считают что Internet Exploler сам сдает пароли и логины преступникам(Хотя, это, возможно тест priv8v все-таки прав)

priv8v

Да, поддерживаю. Мне нравится Ваша методика и Ваше увлечение.

Допустим, что если кто-то еще, использующий мой компьютер с нортоном 360 скачает из инета простой кейлоггер (логирует в файл то, что набрано на клаве, ну и буфер обмена), то что на это скажет нортон360? (в смысле реализована ли в нем защита от кейлоггеров - качать лень просто кейлоггеры wink.gif )

Насколько мне известно реализована. Кстати для этого даже есть Identity Safe, (По сравнению с виртуальной клавиатурой убивает сразу трех зайцев) который сам вводит пароли и логины(которые хранит в зашифрованном виде)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Я им не пользуюсь абсолютно. То есть паролей и логинов там нет. И Вы не единственный такой параноик.

Вы не поняли - я его полностью УДАЛИЛ из системы. У вас он есть, и все плееры, мессенджеры, и пр. используют его для того, чтобы показать вам рекламы... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

А Мне по Вашему он зачем? И кстати, браузером по умолчанию у меня является Firefox - потому что IE у меня тоже нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

http://rapidshare.com/files/216661578/Nort...nstall.rar.html

Агент,ану как Вам такой аргумент...

Боюсь,что не поймёте в чем весь сыр-бор.

Нортон снёсся без мышки. B)

Надо бы хотя бы капчу как в Др.Веб.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Лик-тест простой кейлоггер:

Основан на опросе клавиатуры (т.к ничего проще этого нет). Логирует нажатые клавиши в файл stupid_keylog_log.txt в текущей директории. Логируют только английские буквы - просьба печатать на английском. Больше ничего не делает, т.к на детект кейлоггеров это не должно влиять - т.е на детектирование кейлоггеров не должно влиять разделяет ентерами в логе текст, пишет ли какое окно было активно в момент нажатой клавиши и т.д - это все излишне и может вести к "самозабану" - т.е выкладывание заведомо трояна ведет к забаниваю участника админом, т.е сие действие равно = "самозабан")

Ничего никуда не посылает. Висит в процессах. Завершать приложение через завершение его процесса через диспетчер задач (или любым удобным вам способом).

Если нужен более функциональный кейлоггер для тестирования - пишите в ЛС - выдам такой (т.е прикручу к этому недостающие функции).

Написан на С+winapi. Размер 6 кб. Ничем не упакован.

http://slil.ru/27364151

По моим наблюдениям работает в системе с активным НИС совершенно свободно (т.е без всяких запросов от НИС).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Если бы я верил тестам "авторитетных лабораторий", мы бы здесь свои тесты не проводили.

Я и мы понятия несколько разные, учитывая, что Вы не являетесь официальным лицом, проводящим тестирования АВ-продуктов. ;)

А авторитет лаборатории лишь зависит от методологии, качества проведения и желания учиться на ошибках.

Наличие "знакомых" позабыли... ;)

Деление на "авторитетные" и "любительские" тесты считаю некорректным, авторитет понятие очень субъективное.

Сравнительные тестирования АВ-продуктов тоже субъективны. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

priv8v при всем уважении, я все-таки не понимаю что Вы пытаетесь доказать? Если есть образцы угроз, которые NIS не может детектить - то передавайте их в нужном направлении - https://submit.symantec.com/websubmit/retail.cgi. И по-прежнему хочу отметить - ваши тесты действительно очень спорные, по причинам, которые я указывал выше

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Ну почему-же защиты от кейлоггеров нету?

ISP или СОНАР спрашивает,про перехват нажатия клавиш.Правда,я настраивал всё-таки НИС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
priv8v при всем уважении, я все-таки не понимаю что Вы пытаетесь доказать?

Для начала стоит отметить, что я не являюсь работником какой-либо антивирусной компании.

При тестировании любого АВ-продукта я задаюсь лишь одним вопросом - "что я думаю можно улучшить?".

И не нужно меня воспринимать как некоего врага компании симантек.

Ведь, вроде, в одном окопе с Вами сидим.

+ еще вопрос от меня: Вы технический специалист или связаны больше с маркетингом? (просто я до сих пор в недоумении от того, что выше Вы сказали с уверенностью, что изменение стартовой будет прибито СОНАРом, а оно прибито не было - и после этого Вы обозвали мой тест "спорным").

Если есть образцы угроз, которые NIS не может детектить - то передавайте их в нужном направлении

Лучше обсуждать всем вместе. Ведь у меня обычная голова, а не дом советов.

И по-прежнему хочу отметить - ваши тесты действительно очень спорные, по причинам, которые я указывал выше

Выше я уже написал о том, что я осознал некоторые моменты - например то, что отсутствие детекта изменения стартовой это просто политика компании - спрашивать поменьше и это действие не является критичным, т.к я не думаю, что компания симантек встречала трояны, действующие по принципу моего лик-теста - т.е некая спорность есть, но больше философии - т.е детектить изменение стартовой или нет. Кто-то это дело палит, а кто-то нет.

Но вы упомянули лик-тесты во множественном числе. А их было всего два. Тему про startpage в осле мы уже закончили. Остался открытым вопрос кейлоггеров.

Чем спорен мой лик-тест? Неужели прямо и четко не сказать, что это такая политика компании - не напрягать юзера - пусть кейлоггер работает, но юзер спит спокойно (меньше знает - крепче спит).

Или с технической реализации мой кейлоггер спорен? Я разве юзал какие-то недокументированные функции? Или хитро грузил драйвер-фильтр для этих целей? Нет. Все реализовано в одном ЕХЕшнике.

Выше Вы упоминали про многие факторы - из этого можно сделать вывод о том, что просто кейлогга недостаточно. Поэтому привожу пример приложения, действия которого ничем не отличаются от стандартного кейлоггера:

1). логирование нажатых клавиш

2). слежение за буфером обмена

3). запись в каком окне был набран текст

Все логируется в файл в формате штмл для удобного просмотра. На эту поделку те аверы, которые пробуют хоть как-то детектировать деятельность кейлоггеров, орут до хрипоты и слез.

http://slil.ru/27366634

Размер сильно увеличился - теперь приложение весит целых 8 Кб.

Теперь завершить работу кейлоггера можно нажав на кнопку 0 на клавиатуре с циферками (около кнопки num lock). Нужно что бы огонек клавиши нум лок горел. - Не знаю как объяснить более понятно на что нужно нажать :huh:

И самое важное: все-таки, в НИС 360 (видимо в СОНАРе) есть детект кейлоггерских действий или нет? (просто если нет, то что мы тогда тестим, а если есть, то получается не ясно что он делает, раз не палит такой простой кейлоггер).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Хм...спокойно запустился,НИС даже ничего не сказал,что кейлоггер.

А остальные,типа КВП Инфиум,задалбывает вопросами.А тут тишина...

Кхм...

Видео надо,или на слово поверите?

Просто траффик не очень хочется расходовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v Просто_Юзер

Этот тест спорный - мягко сказано...ОЧЕНЬ мягко. А кстати - наконец-то ты вспомнил что ты антифан Symantec.(Просто Юзер)

Идею Вашу поддерживаю. Но пока эти Ваши тесты - очень спорные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Malware Defender еще до набора текста, сразу после запуска, вопил "попытка получить низкоуровневый доступ к клавиатуре!" до тех пор, пока я не разрешил убить процесс. Да и менее мощная хипса должна такие вещи брать, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

У меня кстати, был на компьютере и KIS 2009 и NIS 2009. Работа второго по убиванию кейлоггеров мне показалась намного лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ priv8v:

Уже было несколько намёков на то, что ваши старания здесь не очень воспринимаются. Norton 360 3.0 - готовый продукт, и что-нибудь изменить в уже готовом продукте всё равно не будут. Нет смысла напрягаться и отдельные трюки вести в базы - это бесконечный процесс, и вообще тяжёлая работа, которая на самом деле должна оплачиваться. Предлагаю остановиться на это. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Некоторые, лично мной - воспринимаются. Но большинство лик-тестов - просто абсурд. К тому же NIS не будет говорить про кейлоггер. Все можно увидеть в отчетах если интересно. Некоторые антивирусы просто изматывают своими многочисленными алертами на подобные пустяки(уязвимости, перехваченное вторжение, нахождение спама и прочие мелочи мешающие спокойной работе пользователя)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Какое большинство? тут большинства быть не может априори - тестов было всего два. Попробуйте выделить из них большинство. Это полтора выходит что ли? :lol:

Agent, я не вижу от Вас аргументов. Чем спорен этот простой кейлоггер?..

Прошу помощи:

мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Нет смысла напрягаться и отдельные трюки вести в базы

Зайцев Олег думает иначе (хотя и структура АВ-лаборатории и самого антивируса там другая) - достаточно написать лик-тест или просто словами описать возможную уязвимость и он уже правит это дело в правилах эмулятора - со следующими обновлениями SR подобных действий считается иначе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Вы технический специалист или связаны больше с маркетингом?

Кирилл Керценбаум старший технический консультат в России и странах СНГ. Думаю он разбирается в продуктах Norton в десятки раз лучше любого находящегося здесь пользователя.

мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Вы считаете, что продукты Symantec Corporation, которые занимают лидирующие место на рынке домашнего АВ-ПО не обеспечивают защиту от такой мелочи? ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Вы считаете, что в продуктах Symantec, которые занимают лидирующие место на рынке домашнего АВ-ПО не обеспечивают защиту от такой мелочи?

Всё-таки видео наверное мне надо снимать...пусть у меня сейчас и НИС,но всё же.А там видно уже будет.Отчёты,и СОНАР-ы,и т.п.

А начал я эту кашу только из-за одногоче человека,не буду переходить на личность.<_<

Похоже я увлёкся.

А кстати - наконец-то ты вспомнил что ты антифан Symantec.(Просто Юзер)

Уже "на ты",хорошо.

Я разочаровался в в одном из тестов в Симантек.Да и вообще,почему я отчитыватся должен перед тобой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Насколько я понял, SONAR - программа с немного другим назначением: это больше zero-day protection, а не анти-лик модуль (Sonar - wikipedia). Кирилл скажет точнее. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Ну, естественно, Проактивная защита типо SONAR-а не занимается этим. В отличие от Касперского, где этим занимается поведенческий блокиратор.

Разумеется, в самом Norton есть защита от кейлоггеров.

Просто_Юзер

Я в этом убедился еще пару дней назад, когда кто-то(не помню кто :rolleyes:) сказал что у Symantec детектирование вирусов - 40%...Хотя тесты показывают обратное. Результат в два с половиной раза больший.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Просто_Юзер

Я в этом убедился еще пару дней назад, когда кто-то(не помню кто ) сказал что у Symantec детектирование вирусов - 40%...Хотя тесты показывают обратное. Результат в два с половиной раза больший.

Я пытался немного "спустить" тебя на землю.Ты летаешь в облаках,думая,что всё круто в Симантек. <_< Надо немного реалии,а не только заоблачные тесты.

Хотя тесты показывают обратное.

Тесты-тесты...да забей ты на тесты!Взгляни правде в глаза.Тесты - не всегда эталон качества.

Может "забугорные" сигнатуры и круто детектятся,но разговор идёт о СНГ.Я упоминал об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Alushaa
      Весьма хорошее приложение чтобы проверить авто по номеру и прочему. Удобно и совершенно бесплатно, так что если вам интересно, то стоит с ним все же ознакомиться и вам самим.
    • Alushaa
      Здесь рекомендую почитать про свойства гуараны. Весьма любопытная статья, которая лично мне во всех смыслах понравилась, так что почитать её рекомендую и вам самим, думаю не разочаруетесь совсем.
    • Ego Dekker
      Антивирусы были обновлены до версии 12.2.29.
    • Quinci
      Уже давно уехал из Перми на ПМЖ в Москву, иногда только к родне возвращаюсь повидаться. В этом году, увы, не получилось и не получится из-за напряженного графика работы. Вскоре у моей школьной учительницы, классного руководителя, которая дала нам многое, будет юбилей - 60 лет. Оставшиеся в Перми одноклассники планируют чего-то даже ей презентовать, но у меня не получается с ними как-то её лично поздравить. Вот думаю заказать цветы через http://perm.lotos-fl.ru и коробку конфет. Есть ли кто пользовался их услугами? Свежие ли цветы? Вовремя ли доставку организовывают? Поделитесь отзывами пожалуйста. 
    • Alushaa
      Последние новости про бизнес тут спокойно читаю https://promdevelop.ru/news/prognoz-na-rost-tseny-nefti-100-dollarov-za-barrel-prichiny-podorozhaniya/  Мне все у них понравилось и в целом там много дельной информации, которая может быть вам как раз полезна
×