Перейти к содержанию
Сергей Ильин

Тест HIPS на предотвращение проникновения в ядро Microsoft Windows

Recommended Posts

p2u

Реакции на статью CNews можно читать здесь

Один пример (сообщение 6):

[...]Если есть вредоносный код, то он будет определен по сигнатуре, и антивирус просто не даст ему запустится.

К тому же в момент попытки заражения таким типом вирусов Windows покажет предупреждение UAC.[...]

Что вызывает у меня такой вопрос: а может быть стоит отдельно UAC тестировать? Не в сравнениях с продуктами защиты, конечно, (сама Майкрософт теперь говорит, что UAC не является решением безопасности, хотя изначально этот функционал как таковым рекламировала) а само по себе? Все тесты пока на XP. Давайте что-нибудь покажем людям на Висте. Таким образом можно выявить: стоит ли людям купить дополнительные программы с HIPSом для Висты или нет? :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Давайте что-нибудь покажем людям на Висте. Таким образом можно выявить: стоит ли людям купить дополнительные программы с HIPSом для Висты или нет? :)

Paul

Пауль, простенький прогон на голой Висте наборчика CLT дает аж 240 баллов. Практически столько же (250) на XP SP3 показывает некогда "великий и могучий" RTDPro. :blink: Лидер - Malware Defender - дает 310. Конечно, CLT - детская забава, но результаты интересные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Guillaume Kaddouch уже достаточно давно тестировал ликтесты на Висте (64-bit). Его выводы можно увидеть здесь. Но как видно из комментария на CNews, это никого не впечатляет. Поэтому и предлагаю дать народу хлеб (на размышление) и зрелище...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Реакции на статью CNews можно читать здесь

Один пример (сообщение 6):

Почитал отзывы. Сложилось стойкое впечатление, что некоторые пользователи просто достойны того, что бы на их ПК уютно и дружно жил рассадник вирусни и троянов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Пауль, простенький прогон на голой Висте наборчика CLT дает аж 240 баллов.

У меня уже при запуске CLT на W7x64 всплывает UAC. На висте не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
У меня уже при запуске CLT на W7x64 всплывает UAC. На висте не так?

Наверное, тестил не я, у меня ХР. Естественно, запуск оболочки надо разрешить, остальные запросы, если будут, пойдут от самих ликов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

p2u

Его выводы можно увидеть здесь.

К сожалению ресурс не доступен. А у вас off-line версии не сохранилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
К сожалению ресурс не доступен. А у вас off-line версии не сохранилось?

Нет, я таких вещей не сохраняю. Его ликтесты на Висте упоминаются здесь (на русском и с таблицами). Там говорится:

По результатам тестов, проведенных в марте 2007 года Guillaume Kaddouch, только 9 ликтестов были заблокированы операционной системой Windows Vista Ultimate 64-bit при установке по умолчанию

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Естественно, запуск оболочки надо разрешить

Зачем? :blink: Этим вы даёте ей права админа. При запуске UAC уже ругается на прямой доступ к диску. На этом уже следовало прекращать тестирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Зачем? :blink: Этим вы даёте ей права админа. При запуске UAC уже ругается на прямой доступ к диску. На этом уже следовало прекращать тестирование.

:blink: Это же просто оболочка, для вашего же удобства. Ну, не хотите - запускайте каждый из 24-х в отдельности из папки... и результаты сами считайте. <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ну, не хотите - запускайте каждый из 24-х в отдельности из папки... и результаты сами считайте. <_<

А так и положено, кстати. После PCAudit, например, нельзя сразу же другой ликтест запускать (память будет 'грязная') - надо перезагрузить систему, иначе результаты будут искажённые.

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
А так и положено, кстати. После PCAudit, например, нельзя сразу же другой ликтест запускать (память будет 'грязная') - надо перезагрузить систему, иначе результаты будут искажённые.

Paul

А если его вытащить и проверить уже после всех? Уж больно удобную оболочку сварганили комодовцы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А если его вытащить и проверить уже после всех? Уж больно удобную оболочку сварганили комодовцы...

У каждого теста есть своя фишка. Надо тестировать все ликтесты отдельно, желательно в отдельных сессиях и каждый раз после перезагрузки. Они не были созданы как группу.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Понял.

Интересно, а в Firewall Challenge Матушека эти условия соблюдаются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Интересно, а в Firewall Challenge Матушека эти условия соблюдаются?

Полагаю, что соблюдаются. По крайне мере из компании Comodo говорили ему уже давно. Можно у него самого спросить, конечно, но боюсь, что он деньги требует за ответ. :D

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Маленький мальчик по стройке гулял.
Разные кнопочки он нажимал.
Быстро сработал гидравлический пресс -
Маленький блинчик упал под навес!


:blink: Это же просто оболочка, для вашего же удобства. Ну, не хотите - запускайте каждый из 24-х в отдельности из папки... и результаты сами считайте. <_<

Я категорически с этим не согласен c требованием оболочкой для тестов прав админа т.к. такое поведение исключает из теста UAC.
Из-за врождённой способности преобразовывать лень в эффективность я пошел другим путём. Я просто удалил манифест из exe-файла CLT , где и прописано требование прав администратора.

manifest.png

Получилось два файла теста: обычный и без требований.

about.png

А теперь, дорогие форумчане, смотрим на результаты под W7RC1x64 (слева с админом, справа без этого требования):

clt.png

Только не забудьте, что при тестировании необходимо наличие соединения с интернетом, а то получите результаты 220 против 310.
Всем спасибо за внимание. :)

post-4003-1241808366_thumb.png

post-4003-1241808402_thumb.png

post-4003-1241808603_thumb.png

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×