Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

Recommended Posts

cracklover
ну почему же - Касперский тоже его детектил по сигнатурам раньше, пока автор вежливо не попросил убрать сигнатуры из базы

Не совсем понял, детектил сам farn применения криптора или вирус в зараженном файле закриптованном этим криптором? Это абсолютно разные вещи.

Не забывайте, что некоторые антивирусы неплохо детектируют упакованные вирусы поверх упаковщика используя стандартный сигнатурный метод.

Не забываю. Однако я больше наблюдал ситуацию, когда детектирование происходит, но ...выявляется ошибочно другой вирус, а не реально имеющийся :-)

Приведите пожалуйста примеры.

Это некорректно и неэтично. Подобное потянет на руководству к действию.

Любой кто исследовал способности популярных крипторов подтвердит, что я прав.

Почему же тогда в этом тесте http://anti-malware.ru/index.phtml?part=tests он "взял" всего лишь чуть больше половины упакованных вредоносных объектов? Или что-то существенно изменилось за последнее время?

Я тоже был сильно удивлён. Однако тот же пресловутый пример EXECryptor + ещё один публичный криптор ещё нееди две назад были не по зубам Ноду, а теперь заражённые файлы раздеваются абсолютно прозрачно!

Я вовсе не склонен идеализировать Нод, но меня на данный момент он впечатляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Не забываю. Однако я больше наблюдал ситуацию, когда детектирование происходит, но ...выявляется ошибочно другой вирус, а не реально имеющийся :-)

Ложные срабатывания? Возможно. Но все же детектирование упакованных вирусов подобным образом нельзя сбрасывать со счетов. Согласны?

Зачастую вирусные лаборатории ванчале добавляют обычный сигнатурный детеккт, а затем

совершенствуют механизм распаковки.

Это некорректно и неэтично. Подобное потянет на руководству к действию.

Ну почему же. Полагаю, что это наоборот будет стимулом.

Любой кто исследовал способности популярных крипторов подтвердит, что я прав.

Мнения бывают разные.

Я тоже был сильно удивлён. Однако тот же пресловутый пример EXECryptor + ещё один публичный криптор ещё нееди две назад были не по зубам Ноду, а теперь заражённые файлы раздеваются абсолютно прозрачно!

Возможно. Ноябрьский тест покажет насколько изменилась ситуация.

Я вовсе не склонен идеализировать Нод, но меня на данный момент он впечатляет.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
Не совсем понял, детектил сам farn применения криптора или вирус в зараженном файле закриптованном этим криптором? Это абсолютно разные вещи.

Детектил любой файл, пакованный экзекриптором как вирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mag3d

Вопрос: а почему вы в список пакеров-протекторов не включили telock, peshield, polyene (полиморфный), pklite32? Насколько я знаю они реально используются, для упаковки троянов.

Очень интересно узнать чей из движков справляется с armadillo

Добавлено спустя 4 минуты 6 секунд:

Еще вопрос: почему упаковщик точно не помню как пишется на латинской раскладке, читается что-то типа майкранч детектируется как вирус в KAV? А он чистенький, ни кто этим упакощиком не занимался?

Добавлено спустя 57 секунд:

И в догонку еще вопрос: какие антивирусы для распаковки используют программные эмуляторы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
Еще вопрос: почему упаковщик точно не помню как пишется на латинской раскладке, читается что-то типа майкранч детектируется как вирус в KAV

см. на пост выше. в кав все что не могут распаковать помечают как вирус. Потом в тестах "для народа" подобный подход дает еще несколько "метких попаданий в яблочко".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Только Eset Nod32 к моему ужасному удивлению поднаторел за послдение несколько месяцев на поприще работы с закриптованными вирусами, на ура декриптуя настоящий гвоздь в ж... для всех остальных антивирусов - EXECryptor. Да и почти все остальные крипторы ему по зубам.
Почему же тогда в этом тесте http://anti-malware.ru/index.phtml?part=tests он "взял" всего лишь чуть больше половины упакованных вредоносных объектов? Или что-то существенно изменилось за последнее время?

Странно как-то Вы,Mr. Justice, трактуете результаты

этого теста. NOD32 оказался на четвёртом месте, оставив

позади, двенадцать антивирусных продуктов, проваливших тест.

И уже в тот раз, ESET продемонстрировала значительный прогресс.

При этом, Вы называете этот результат "всего лишь" - "чудно" как-то, знаете ли...

А по-поводу изменений в последнее время - да, произошли еще более

кардинальные изменения в отношении количества упаковщиков,

которые поддерживает NOD32, причем произошли они, за очень

короткий период времени.

И грядущий, новый тест на поддержку упаковщиков, покажет

_много_ интересного...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Странно как-то Вы,Mr. Justice, трактуете результаты

этого теста. NOD32 оказался на четвёртом месте, оставив

позади, двенадцать антивирусных продуктов, проваливших тест.

И уже в тот раз, ESET продемонстрировала значительный прогресс.

При этом, Вы называете этот результат "всего лишь" - "чудно" как-то, знаете ли...

Может быть я неправильно выразился. Я нисколько не хочу преуменьшить достоинства NOD32. Этот антивирус обладает превосходным эмулятором, который позволяет проактивно детектировать упакованные вредоносные объекты. Более того, замечу, что в отличие от многих других антивирусов, результат который покажет NOD32 трудно предсказать.

А по-поводу изменений в последнее время - да, произошли еще более

кардинальные изменения в отношении количества упаковщиков,

которые поддерживает NOD32, причем произошли они, за очень

короткий период времени.

И грядущий, новый тест на поддержку упаковщиков, покажет

_много_ интересного...

ОК. Охотно Вам верю. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Еще вопрос: почему упаковщик точно не помню как пишется

> на латинской раскладке, читается что-то типа майкранч

MuCrunch распаковывется - лично с автором общался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cracklover

Продолжу свои наблюдения.

Убедительная просьба не расценивать всё следующее как разжигание межантивирусной вражды, но в этот раз под нож хочу пустить творение лаборатории Данилова.

Если тут есть представители этой компании, то пусть они беспристрастно ответят на один лишь вопрос.

Почему Доктор так неуверенно работает с крипторами и пакерами?

Чтобы обойти Доктор Веб, достаточно минут 5 походить по местам скопления паблик-крипторов чтобы найти как минимум пару-тройку из них, которые полностью отбивают у Доктора способность что-либо найти в заражённом файле (либо самом файле-вирусе).

При этом, это даже не монстры типа Armadillo, а всего лишь крипторы далеко не первой свежести, увеличивающие размер файла ничтожно.

Смотрю на конкурентов Доктора, сравниваю, наблюдаю за скоростью реакции их производителей по внесению в базы возможности детектить и опознавать хотя бы приблизительно по сигнатурам (если уж не распаковывать) новые крипторы и вижу, что всё ок. Очень оперативно работа проходит у многих.

А вот Доктор. как косолапый Мишка в берлоге, или как мужик, который пока гром не грянет и т.д...

Почему так происходит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Предположительно ответ будет примерно следующего содержания: "То же самое можно сказать о любом другом антивирусе" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Почему так происходит?

Ответ будет таким. Ваши утверждения носят общий характер и не имеют доказательной базы.

Тест на детектирование упакованных вирусов ужЕ проведён, результаты можно посмотреть.

Dr.Web в этом тесте стоИт не на самом последнем месте, а большинство известных антивирусов себя показали далеко не с лучшей стороны (это если отбросить в сторону всё субъективное по отношению к тесту)

И действительно нет антивирусов, для которых невозможно найти пакер, который он не сможет распаковать.

Все антивирусные вендоры стараются распаковывать наиболее часто встречающиеся упаковщики, только у одних их количество больше, у других - меньше.

Я думаю, что на обход Dr.Web Вы потратили приличное время, чтобы доказать себе, что он ловит не все крипторы, а на достойную проверку других антивирусов у Вас просто не хватило запала, зато этого хватило, чтобы "пустить под нож творение..." и т.д. по тексту.

Так, как это сделали Вы, можно "пустить под нож" любое "творение", и мой персонаж Гудрон не так давно это демонстрировал.

Но мы вроде бы тут не за этим, правда? :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cracklover

2 Valery Ledovskoy

Мой ответ не имеет доказательной базы лишь потому, что я уже тут писал, что не намерен делать за кого то чужую работу и выявлять крипторы, не определяемые какими-либо антивирусами, давая репорты в антивирусные компании. Чужой хлеб мне не нужен.

Тест на детектирование пройден и я заявляю, что на данный момент он НЕ ОБЪЕКТИВЕН!

Действительно, нет антивирусов, которые невозможно обойти, но так просто как Доктора....

На обход Доктора потрачено МИНИМАЛЬНОЕ время. И это при том, что другим антиврусам уделялось не меньшее время. Поверьте хотя бы на слово :-) Такое вот у меня нездоровое хобби. :-)

Могу сказать, что тот же Касперский и Нод32, крайне трудно обходимы.

А вот пустить под нож иной (Не доктор веб) антивирус, гораздо, существенно гораздо сложнее.

И ещё подчеркну, что обидно лишь то, что работы в данном направлении у г-на Данилова ведутся как-то вяло, по сравнению с конкурентами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

cracklover

Сколько времени нужно потратить, чтобы обойти KAV и NOD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cracklover

2 Михаил Кондрашин

Последней Касперский с его весьма продвинутой проактивной защитой душит трояноподобные файлы чётко, хотя спокойно позволяет их скачать или скопировать и запустить. Только проактивная защита работает чётко. Огромный плюс.

Однако если вирус деструктивный, а не трояноподобный - Каспер бессилен после протекта файла.

При этом протекторов реально очень мало ему неподдающихся. Прокол только с двойно криптовкой и с "тяжёлой артиллерией" - полиморфами. Но тут дружно лажают все.

Общее время обаман, при наличии нужных средств (не бит-хак) - ну, несколько секунд :-) столько сколько криптовка идёт.

С Нодом сложнее.

Тут сбой только на двойной криптовке. Либо криптовке экзотикой. И то, часто спасает его отличная эвристика. Именно ОТЛИЧНАЯ. Что бы не говорили. Но тоже - обмануть дело полуминуты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

cracklover

От сюда вывод: Для автора вируса нужно 1 сек для обмана DrWeb и 30 сек для обмана NOD, скольок там для KAV из вашего поста не ясно, но немного.

Внимание вопрос: Какой в этой эвристике смысл, если наиболее опасные вирусы пишутся с учетем наличия защиты на компьютере потенциальной жертвы? DrWeb "хуже", так как на его обман нужно меньше времени автору вируса? Вот если бы некоторых конкурентов DrWeb нельзя было обмануть, или это требовало неимоверных трудозатрат...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cracklover

2 Михаил Кондрашин:

Вывод и вопрос в корне не верны.

Далеко не каждый может и захочет обманывать антивирус.

Таких единицы.

Во-вторых, обамнуть - не значит ПОЛНОСТЬЮ и без всякой возможности защищаться обезоружить.

Всегда есть элементарные средства защиты, которые не обойдёт ни один вирус.

А именно:

НЕ качать то, чему не доверяешь, Не открывать, то чему не доверяешь, СЛЕДИТЬ, что и откуда запускается.

А в эвристике и проактивной защите сейчас как раз вся сила!

Проактивная защита всегда (почти) скажет, что вредное и куда лезет в системе, а эвристика предупредит о неопознанном с одновременной блокировкой.

Лично мне кажется (я это укже писал), что сейчас эвристику надо двигать со страшной силой, с одновременным увеличением числа быстрых онлайн-мультисканеров на вирусы.

Пусть лучше антвирус верещит на каждом пакованном криптованном файле, чем просто плюнет на них и пропсутит без зазерния совести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Вывод и вопрос в корне не верны.
Далеко не каждый может и захочет обманывать антивирус.

Таких единицы.

Зато это авторы самого опасного вредоносного ПО. Нашумевших вирусов тоже единицы. (Ну хорошо, десятки)

Во-вторых, обамнуть - не значит ПОЛНОСТЬЮ и без всякой возможности защищаться обезоружить.

Всегда есть элементарные средства защиты, которые не обойдёт ни один вирус.

А именно:

НЕ качать то, чему не доверяешь, Не открывать, то чему не доверяешь, СЛЕДИТЬ, что и откуда запускается.

Это нельзя реализовать автоматически

А в эвристике и проактивной защите сейчас как раз вся сила!

"В чем сила брат" © Брат

Я согласен, но к сожалению "проактивная" защита, это очень перегруженный термин.

Лично мне кажется (я это укже писал), что сейчас эвристику надо двигать со страшной силой, с одновременным увеличением числа быстрых онлайн-мультисканеров на вирусы.

здорово бы конечно...

Пусть лучше антвирус верещит на каждом пакованном криптованном файле, чем просто плюнет на них и пропсутит без зазерния совести.

Ну уж нет. Есть такая сказка про мальчика, который кричал "Волки! Волки!" Чем все закончилось мы знаем.

По существу: Вы путаете антивирусную проверку с антивирусной защитой. Если первая должна давать некий вердикт по файлу/системе и предполагает интеллект "оператора", то вторая должна помогать работать а не мешать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Вообще защита - это и есть проверка, только в реальном времени :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Вообще защита - это и есть проверка, только в реальном времени :)

Ну... это вы озвучили популярное заблуждение. Полагаю, что смайлик нужно именно такинтерпритировать.

Защита --- это всегда компромисс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Пусть лучше антвирус верещит на каждом пакованном криптованном файле, чем просто плюнет на них и пропсутит без зазерния совести.

Упс... Ну да, дома пусть орет как угодно... А вот на работе, в смысле в рамках корпоративной сети - не дай боже...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
А по-поводу изменений в последнее время - да, произошли еще более

кардинальные изменения в отношении количества упаковщиков,

которые поддерживает NOD32, причем произошли они, за очень

короткий период времени.

И грядущий, новый тест на поддержку упаковщиков, покажет

_много_ интересного...

с июля 2006 года по сегодняшний день добавили только поддержку ACE-архивов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Вот тест на упаковщики AV-test.org

круче всех Панда:) потому как она блин офигительное число упаковщиков просто по умолчанию относит к зловредам - отсюда адские фолсы (что собственно отражено в презе).

второй каспер, у него фолсов в разы просто меньше, но они есть

к сожалению кроме замечания о крайне медленной работе никаких данных по Доктору нет.

BH_US_06_Morgenstern.pdf

BH_US_06_Morgenstern.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Просто совершенно непонятный тест...

И главное в правильности его методологии я очень сомневаюсь... А следовательно и результаты его оставляют желать лучшего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Просто совершенно непонятный тест...

И главное в правильности его методологии я очень сомневаюсь... А следовательно и результаты его оставляют желать лучшего.

Презентация это не тот формат где можно описать подробно тест, поэтому неясности конечно есть.

Но вот хотелось бы все же у вас узнать:

1.Что конкретно вам непонятно? желательно подробно

2.Что позволило вам усомниться в его методологии?

Может быть просто несовпадение с результатами теста Anti-Malware.ru вас расстроило:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Вот тест на упаковщики AV-test.org

круче всех Панда:) потому как она блин офигительное число упаковщиков просто по умолчанию относит к зловредам - отсюда адские фолсы (что собственно отражено в презе).

Если бы в антивирусе была бы настройка,позволяющая файл,запакованный неизвестным упаковщиком,рассматривать по умолчанию за вирус,обязательно включил бы на домашнем компе.Очень подозрительно,когда малоизвестный упаковщик используется или неизвестный,если просто детект неизвестного упаковщика возможен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×