Перейти к содержанию

Recommended Posts

Guest Просто_Юзер
Просто_Юзер

Где же я послал на три буквы? И кого? Покажите мне на форуме АМ или на каком-либо другом где я это делал.

И что за влияние? Сон приснился?

Я не буду комментировать этого. Ни в одной теме форума Anti-Malware.ru

Влияние на модераторов имеется,Вы сами мне говорили.Только вылаживать личную переписку я не собираюсь.

Агент

На подобных людей не обижаются

Тест проводил человек, который похоже, только месяц назад узнал что такое антивирус

Later...

Я не оскорблял Вашего товарища. Я наоборот его уважаю за проделанную работу, но...верится как-то не очень.

Вы противоречите сами себе.

Т.к. комментариев от Вас я не дождусь,то мне спокойнее будет на душе.:)

А кстати,изминение старт.страницы браузера,защита есть в одном из продуктов.Только я не буду говорить,т.к. Агент на меня набросится сразу,что мол я рекламирую продукт,опуская продукты Симантек.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Очень жаль. Значит объяснить я Вам ничего не смогу. Тогда не стройте предположений не выяснив ситуации.

И Кстати - я не пользуюсь этим браузером(Internet Exploler)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
По поводу Av-comparatives.org, почитайте старые топики 1-2х годичной давности, там все разложено.

+1

Вы, лично, будете верить любительским тестам, угрозы выявленные в которых не стали глобальными и опасными, как говорили и яростно утверждали тестирующие, или авторитетным тестовым лабораториям?

ж*пу с пальцем не путайте. Я не занимаюсь тестированием сигнатурных детектов. Занимаюсь тестированием самозащит и пдм/хипсов.

Про спорность теста согласен - за все время, что я занимаюсь реверсингом попадающих ко мне малваре я ни разу не встречал itw-образец, использующий стартовую страницу осла для передачи конфиденциальной информации через get-запрос.

Потому я вынужден был потратить несколько минут времени на то, что бы накидать лик-тест, который показывает как это делается (хотя быстрее было это сказать на словах) - то, что он спорный признаю и ссылаюсь на другие АВ-компании - многие такие действия детектируют или пресекают на месте, как говорится. А то, что это не пресекает нортон - это политика компании и не в моей компетенции указывать в какую сторону склонять СОНАР.

и придумывать вымышленные угрозы

естественно такую методику я придумал сам, но это не означает, что угроза вымышленная.

К примеру можно провести тест: у меня есть несколько сайтов (у меня есть в нете маленький бизнес, построенный на рекламе на сайтах - чисто "на пиво"), потому имею несколько тысяч уников в день - можно провести, допустим 10 тысяч загрузки файла, который делает прямой отстук на стату через высокоуровневые API и загрузку лик-теста (также 10к загрузок), который будет уже не пароль записывать, а, допустим, имя компьютера (дабы лик-тест не был признан троянцем) и посмотреть на результаты - у кого больше отстуков будет. Угадайте у кого будет отстуков больше?..

Тут даже такой тест проводить не нужно.

пользователь пришел сюда чтобы проводить антирекламу

Пришел на анти-малваре я по нескольким причинам: пообщаться с Паулем (давно с ним не виделся), пообщаться непосредственно с специалистами АВ-компаний, которых нет на ВИ, познакомится с интересными людьми... и т.д - антиреклама в этот список не входит.

В таком случае меня можно обвинить в рекламе половины существующих АВ-продуктов: есета, аутпоста, OSSS и даже КИСа - какой резон-то?..

А теперь строго по теме:

1). Все-таки, как относится нортон к редактированию файла hosts?

2). Про ГУЙ выше я спрашивал - сказали, что вроде это не есть гуд...

3). Допустим, что если кто-то еще, использующий мой компьютер с нортоном 360 скачает из инета простой кейлоггер (логирует в файл то, что набрано на клаве, ну и буфер обмена), то что на это скажет нортон360? (в смысле реализована ли в нем защита от кейлоггеров - качать лень просто кейлоггеры ;) )

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И Кстати - я не пользуюсь этим браузером(Internet Exploler)

А это и не надо - другие используют. Пинч (вор паролей) не смотрит на то, какой у вас браузер по умолчанию. Он просто знает, что IE есть у всех (кроме одного параноика по имени p2u), и он знает как им пользоваться. Как вы заметили, один раз хватает запускать незаметно этот браузер и пароль отправляется куда не надо. В этом как раз заключается эксперимент.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Я им не пользуюсь абсолютно. То есть паролей и логинов там нет. И Вы не единственный такой параноик.

Кстати, некоторые считают что Internet Exploler сам сдает пароли и логины преступникам(Хотя, это, возможно тест priv8v все-таки прав)

priv8v

Да, поддерживаю. Мне нравится Ваша методика и Ваше увлечение.

Допустим, что если кто-то еще, использующий мой компьютер с нортоном 360 скачает из инета простой кейлоггер (логирует в файл то, что набрано на клаве, ну и буфер обмена), то что на это скажет нортон360? (в смысле реализована ли в нем защита от кейлоггеров - качать лень просто кейлоггеры wink.gif )

Насколько мне известно реализована. Кстати для этого даже есть Identity Safe, (По сравнению с виртуальной клавиатурой убивает сразу трех зайцев) который сам вводит пароли и логины(которые хранит в зашифрованном виде)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Я им не пользуюсь абсолютно. То есть паролей и логинов там нет. И Вы не единственный такой параноик.

Вы не поняли - я его полностью УДАЛИЛ из системы. У вас он есть, и все плееры, мессенджеры, и пр. используют его для того, чтобы показать вам рекламы... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

А Мне по Вашему он зачем? И кстати, браузером по умолчанию у меня является Firefox - потому что IE у меня тоже нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

http://rapidshare.com/files/216661578/Nort...nstall.rar.html

Агент,ану как Вам такой аргумент...

Боюсь,что не поймёте в чем весь сыр-бор.

Нортон снёсся без мышки. B)

Надо бы хотя бы капчу как в Др.Веб.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Лик-тест простой кейлоггер:

Основан на опросе клавиатуры (т.к ничего проще этого нет). Логирует нажатые клавиши в файл stupid_keylog_log.txt в текущей директории. Логируют только английские буквы - просьба печатать на английском. Больше ничего не делает, т.к на детект кейлоггеров это не должно влиять - т.е на детектирование кейлоггеров не должно влиять разделяет ентерами в логе текст, пишет ли какое окно было активно в момент нажатой клавиши и т.д - это все излишне и может вести к "самозабану" - т.е выкладывание заведомо трояна ведет к забаниваю участника админом, т.е сие действие равно = "самозабан")

Ничего никуда не посылает. Висит в процессах. Завершать приложение через завершение его процесса через диспетчер задач (или любым удобным вам способом).

Если нужен более функциональный кейлоггер для тестирования - пишите в ЛС - выдам такой (т.е прикручу к этому недостающие функции).

Написан на С+winapi. Размер 6 кб. Ничем не упакован.

http://slil.ru/27364151

По моим наблюдениям работает в системе с активным НИС совершенно свободно (т.е без всяких запросов от НИС).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Если бы я верил тестам "авторитетных лабораторий", мы бы здесь свои тесты не проводили.

Я и мы понятия несколько разные, учитывая, что Вы не являетесь официальным лицом, проводящим тестирования АВ-продуктов. ;)

А авторитет лаборатории лишь зависит от методологии, качества проведения и желания учиться на ошибках.

Наличие "знакомых" позабыли... ;)

Деление на "авторитетные" и "любительские" тесты считаю некорректным, авторитет понятие очень субъективное.

Сравнительные тестирования АВ-продуктов тоже субъективны. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

priv8v при всем уважении, я все-таки не понимаю что Вы пытаетесь доказать? Если есть образцы угроз, которые NIS не может детектить - то передавайте их в нужном направлении - https://submit.symantec.com/websubmit/retail.cgi. И по-прежнему хочу отметить - ваши тесты действительно очень спорные, по причинам, которые я указывал выше

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Ну почему-же защиты от кейлоггеров нету?

ISP или СОНАР спрашивает,про перехват нажатия клавиш.Правда,я настраивал всё-таки НИС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
priv8v при всем уважении, я все-таки не понимаю что Вы пытаетесь доказать?

Для начала стоит отметить, что я не являюсь работником какой-либо антивирусной компании.

При тестировании любого АВ-продукта я задаюсь лишь одним вопросом - "что я думаю можно улучшить?".

И не нужно меня воспринимать как некоего врага компании симантек.

Ведь, вроде, в одном окопе с Вами сидим.

+ еще вопрос от меня: Вы технический специалист или связаны больше с маркетингом? (просто я до сих пор в недоумении от того, что выше Вы сказали с уверенностью, что изменение стартовой будет прибито СОНАРом, а оно прибито не было - и после этого Вы обозвали мой тест "спорным").

Если есть образцы угроз, которые NIS не может детектить - то передавайте их в нужном направлении

Лучше обсуждать всем вместе. Ведь у меня обычная голова, а не дом советов.

И по-прежнему хочу отметить - ваши тесты действительно очень спорные, по причинам, которые я указывал выше

Выше я уже написал о том, что я осознал некоторые моменты - например то, что отсутствие детекта изменения стартовой это просто политика компании - спрашивать поменьше и это действие не является критичным, т.к я не думаю, что компания симантек встречала трояны, действующие по принципу моего лик-теста - т.е некая спорность есть, но больше философии - т.е детектить изменение стартовой или нет. Кто-то это дело палит, а кто-то нет.

Но вы упомянули лик-тесты во множественном числе. А их было всего два. Тему про startpage в осле мы уже закончили. Остался открытым вопрос кейлоггеров.

Чем спорен мой лик-тест? Неужели прямо и четко не сказать, что это такая политика компании - не напрягать юзера - пусть кейлоггер работает, но юзер спит спокойно (меньше знает - крепче спит).

Или с технической реализации мой кейлоггер спорен? Я разве юзал какие-то недокументированные функции? Или хитро грузил драйвер-фильтр для этих целей? Нет. Все реализовано в одном ЕХЕшнике.

Выше Вы упоминали про многие факторы - из этого можно сделать вывод о том, что просто кейлогга недостаточно. Поэтому привожу пример приложения, действия которого ничем не отличаются от стандартного кейлоггера:

1). логирование нажатых клавиш

2). слежение за буфером обмена

3). запись в каком окне был набран текст

Все логируется в файл в формате штмл для удобного просмотра. На эту поделку те аверы, которые пробуют хоть как-то детектировать деятельность кейлоггеров, орут до хрипоты и слез.

http://slil.ru/27366634

Размер сильно увеличился - теперь приложение весит целых 8 Кб.

Теперь завершить работу кейлоггера можно нажав на кнопку 0 на клавиатуре с циферками (около кнопки num lock). Нужно что бы огонек клавиши нум лок горел. - Не знаю как объяснить более понятно на что нужно нажать :huh:

И самое важное: все-таки, в НИС 360 (видимо в СОНАРе) есть детект кейлоггерских действий или нет? (просто если нет, то что мы тогда тестим, а если есть, то получается не ясно что он делает, раз не палит такой простой кейлоггер).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Хм...спокойно запустился,НИС даже ничего не сказал,что кейлоггер.

А остальные,типа КВП Инфиум,задалбывает вопросами.А тут тишина...

Кхм...

Видео надо,или на слово поверите?

Просто траффик не очень хочется расходовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v Просто_Юзер

Этот тест спорный - мягко сказано...ОЧЕНЬ мягко. А кстати - наконец-то ты вспомнил что ты антифан Symantec.(Просто Юзер)

Идею Вашу поддерживаю. Но пока эти Ваши тесты - очень спорные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Malware Defender еще до набора текста, сразу после запуска, вопил "попытка получить низкоуровневый доступ к клавиатуре!" до тех пор, пока я не разрешил убить процесс. Да и менее мощная хипса должна такие вещи брать, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

У меня кстати, был на компьютере и KIS 2009 и NIS 2009. Работа второго по убиванию кейлоггеров мне показалась намного лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ priv8v:

Уже было несколько намёков на то, что ваши старания здесь не очень воспринимаются. Norton 360 3.0 - готовый продукт, и что-нибудь изменить в уже готовом продукте всё равно не будут. Нет смысла напрягаться и отдельные трюки вести в базы - это бесконечный процесс, и вообще тяжёлая работа, которая на самом деле должна оплачиваться. Предлагаю остановиться на это. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Некоторые, лично мной - воспринимаются. Но большинство лик-тестов - просто абсурд. К тому же NIS не будет говорить про кейлоггер. Все можно увидеть в отчетах если интересно. Некоторые антивирусы просто изматывают своими многочисленными алертами на подобные пустяки(уязвимости, перехваченное вторжение, нахождение спама и прочие мелочи мешающие спокойной работе пользователя)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Какое большинство? тут большинства быть не может априори - тестов было всего два. Попробуйте выделить из них большинство. Это полтора выходит что ли? :lol:

Agent, я не вижу от Вас аргументов. Чем спорен этот простой кейлоггер?..

Прошу помощи:

мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Нет смысла напрягаться и отдельные трюки вести в базы

Зайцев Олег думает иначе (хотя и структура АВ-лаборатории и самого антивируса там другая) - достаточно написать лик-тест или просто словами описать возможную уязвимость и он уже правит это дело в правилах эмулятора - со следующими обновлениями SR подобных действий считается иначе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Вы технический специалист или связаны больше с маркетингом?

Кирилл Керценбаум старший технический консультат в России и странах СНГ. Думаю он разбирается в продуктах Norton в десятки раз лучше любого находящегося здесь пользователя.

мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Вы считаете, что продукты Symantec Corporation, которые занимают лидирующие место на рынке домашнего АВ-ПО не обеспечивают защиту от такой мелочи? ^_^

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Вы считаете, что в продуктах Symantec, которые занимают лидирующие место на рынке домашнего АВ-ПО не обеспечивают защиту от такой мелочи?

Всё-таки видео наверное мне надо снимать...пусть у меня сейчас и НИС,но всё же.А там видно уже будет.Отчёты,и СОНАР-ы,и т.п.

А начал я эту кашу только из-за одногоче человека,не буду переходить на личность.<_<

Похоже я увлёкся.

А кстати - наконец-то ты вспомнил что ты антифан Symantec.(Просто Юзер)

Уже "на ты",хорошо.

Я разочаровался в в одном из тестов в Симантек.Да и вообще,почему я отчитыватся должен перед тобой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
мне может кто-нибудь внято объяснить есть в СОНАР вообще детект кейлоггеров или нет?

Насколько я понял, SONAR - программа с немного другим назначением: это больше zero-day protection, а не анти-лик модуль (Sonar - wikipedia). Кирилл скажет точнее. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Ну, естественно, Проактивная защита типо SONAR-а не занимается этим. В отличие от Касперского, где этим занимается поведенческий блокиратор.

Разумеется, в самом Norton есть защита от кейлоггеров.

Просто_Юзер

Я в этом убедился еще пару дней назад, когда кто-то(не помню кто :rolleyes:) сказал что у Symantec детектирование вирусов - 40%...Хотя тесты показывают обратное. Результат в два с половиной раза больший.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Просто_Юзер

Я в этом убедился еще пару дней назад, когда кто-то(не помню кто ) сказал что у Symantec детектирование вирусов - 40%...Хотя тесты показывают обратное. Результат в два с половиной раза больший.

Я пытался немного "спустить" тебя на землю.Ты летаешь в облаках,думая,что всё круто в Симантек. <_< Надо немного реалии,а не только заоблачные тесты.

Хотя тесты показывают обратное.

Тесты-тесты...да забей ты на тесты!Взгляни правде в глаза.Тесты - не всегда эталон качества.

Может "забугорные" сигнатуры и круто детектятся,но разговор идёт о СНГ.Я упоминал об этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×