Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

В этой теме 224 сообщений

Вроде как набор пакеров привели, больше и не нужно (всё-равно их больше сотни, а эти самые рапространённые).

Список вирей должен быть составлен так, чтоб всех их определяли все тестируемые антивирусы, будучи не упакованными (что достаточно сложно в плане их нахождения, паскольку обычно их пакуют, прежде чем рассылать).

Если тестировать на вирустотале-результат будет не совсем соответствовать действительности, поскольку используемые там антивирусы не все самые свежие (версии) и вроде бы (не уверен) все они с настройками по умолчанию. Да и такая проблема с вирустотолом-их серв часто забит и приходится иногда ждать по 30 мин и больше своей очереди.

Но другой способ протестить такое количество антивирусов мне не приходит в голову :(

Не ужели их всех устанавливать на свой комп :)

Ваше мнение по тестированию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ваше мнение по тестированию?

Каждый может протестировать на том, на чем сможет, я например могу взять на себя Trend Micro, Symantec, NOD32.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ваше мнение по тестированию?

Я думаю каждый протестирует на том, на чем сможет.

Остальное можно проверить на виртуальных машинах.

vaber, я тебе сейчас открою доступ к закрытому форуму, предлагаю там обсудить список зловредом и обменяться экземплярами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

vaber

Согласен.

Ну а так как у нас тест на определение, а не на производительность, то все прекрасно тестится на виртуальных машинах. Я уже подготовил чистую виртуалку XP, размножу ее (слава богу делается это простым копированием) и вперед. Если что, зловреды дальше виртуалки не выйдут... =)

Добавлено спустя 1 минуту 27 секунд:

Кстати, предлагаю список антивирусов - все кто успешно прошел VB100. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Почитал топик и гляжу тут народ попрежнему путает архиваторы и упаковщики.

RAR SFX и ZIP SFX - это архиваторы. Для того что бы запустить файл из такого архива - его необходимо извлечи и сохранить на диск, тут то его монитор и зарежет.

Упаковщики жмут исполняемый файл и записывают в него свой распаковщик. При запуске происходит распаковка прямо в памяти (минуя дисковые операции) и JUMP на начало кода оригинальной программы.

Ну это так, точки на "i". Теперь по сути: де факто самые популярные упаковщики среди вирусов/троянов/червей: UPX, FSG, MEW. Этой тройкой пожато более половины всего malware.

Притестировании думаю действительн онадо использовать какие либо крайние состояния:

1. Запаковали файл UPX (стандартая упаковка)

2. Запаковали UPX + FSG + ещё что то (вложенная упаковка)

3. Запаковали очень большой EXE-файл (например метров 10, но не инсталлятор, птому как там сам код меньше, а остальное просто прилеплено к файлу, оно жаться не будет)

Ну и так для различных пакеров.

Интересен ещё один вариант теста. Берём 40 вирей/червей/троянов, полученных ITW и пожатых UPX. Распаковываем их всех и жмём тем же FSG и смотрим что будет ;)

А вообще, можно многого навыдумывать, но есть ли смысл ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Про пункт 3 не совсем понял ...

Я думаю первоначально выдумывать, много не стоит. А вообще как я вижу смысл этого теста.

Давайте вернемся немного к истории создания упаковщиков. Они были придуманы не просто так и не для вирусописатилей (многие наверно удивятся :wink: ). Они были придуманы для защиты программ от взлома. Упаковщики встраивают в исполняемый файл различные защиты от дебага, трэйса и прочего... От версии к версии изменяется формат упаковки…

Упаковщики изначально - это антиоружие.

В оружие их превратили вирусописатели.

А вследствие того, что это антиоружие, то оно постоянно развивается, как следствие и развивается оружие вирусописателей. На мой взгляд, антивирусные компании должны следить не только за появлением новых вредоносов, но и должны исключить реинкарнацию старых вирусов запакованных в новые версии упаковщиков, которые просто антивирус не понимает. А если бы понимал, то не понадобилось бы опять проходить процедуру внесения сигнатуры реинкарнировавшего вируса в базы. А ведь так все бьются над снижением времени этой процедуры.

Мое мнение: антивирусные компании должны следить за новыми версиями упаковщиков и вносить изменения по работе с этими упаковщиками.

Вот этим тестом мы и будем проверять, какая из антивирусных компаний обеспечивает более надежную защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ваше мнение по тестированию?

Я думаю каждый протестирует на том, на чем сможет.

Остальное можно проверить на виртуальных машинах.

vaber, я тебе сейчас открою доступ к закрытому форуму, предлагаю там обсудить список зловредом и обменяться экземплярами.

Можно файлы загнать на virustotal с пометкой - Do not distribute.

Добавлено спустя 4 минуты 38 секунд:

>Они были придуманы для защиты программ от взлома.

В корне неверно! Для этого создиги протекторы а пакеры созданны только для того чтобы уменьшать размер

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В корне неверно! Для этого создали протекторы а пакеры созданы только для того чтобы уменьшать размер

На самом деле тут ситуация такая. Как и антивирусы (ловить вирусы) пакеры вначале создавались с одной целью - уменьшить размер. Но, так же как и антивирусы стали ловить не только вирусы, но и другой вредоносный код, да еще, например, и обладать встроенным фаерволом - в пакеры начали встраивать дополнительные средства защиты (что бы товар был конкурентным на рынке). Да что говорить - посмотрите список функционала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Притестировании думаю действительн онадо использовать какие либо крайние состояния:

1. Запаковали файл UPX (стандартая упаковка)

2. Запаковали UPX + FSG + ещё что то (вложенная упаковка)

3. Запаковали очень большой EXE-файл (например метров 10, но не инсталлятор, птому как там сам код меньше, а остальное просто прилеплено к файлу, оно жаться не будет)

Отлично, нужно попробовать так сделать.

Добавлено спустя 14 минут 48 секунд:

Предлагаю подвергнуть тесту следующие антивирусы:

1. Norton Anti-Virus 2006

2. Trend Micro PC-cillin Internet Security 2006

3. McAfee VirusScan Professional 2006

4. Sophos Anti-Virus 6.0 (SAV)

5. Kaspersky Anti-Virus 6.0 (KAV)

6. Eset NOD32 Antivirus 2.5

7. CA eTrust EZ Antivirus 7.1 (CAI)

8. Norman Virus Control 5.0

9. BitDefender 9 Professional

10. Panda Titanium Antivirus 2006

11. AVG Professional Edition 7.1

12. Dr.Web Scanner for Windows 95-XP 4.33

13. AVIRA Antivir PersonalEdition Premium 7.0

14. Avast! 4.7 Professional Edition

15. F-Prot Anti-Virus for Windows 3.16f

16. F-Secure Anti-Virus 2006

17. GDATA AntiVirusKit 2006

18. VBA32 3.11

Возражения есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

11 и 14 не одно и тоже?

Мон ещё и clamav 0.88.2, Authentium 4.93.8, а самое главное наш БЕЛАРУСКИЙ антивирус VBA32 3.11.0????? Как же так? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, 14 убираем, два раза написал :oops:

VBA32 добавил, список обновил выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё-таки мона и clamav 0.88.2 - я когда покавал бэгля GPcH Protect и отсылал на вирустотал, то кроме этого антивиря и vba ни кто не определил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Забыли ещё UNA

Да, точно, сорри :oops:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тут ещё какая-то Stocona вылезла :)

http://www.stocona.ru/products/antivirus/index.html

Хотелось бы узнать, что за фрукт :)

А как на счёт Microsoft OneCare? ;)

Тоже хотелось бы независимых исследований, а не проспонсированных :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, MS было бы интересно потестить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ОК, Microsoft OneCare еще и Stocona.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просто нужен ли кому-то в России тоже Virusbaster или Ikarus?

Их и не знает никто почти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Stocona действительно бы не мешало по тестить. Надо взять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто нужен ли кому-то в России тоже Virusbaster или Ikarus?

Их и не знает никто почти.

Я просто добавил того, чего не хватает :)

Вдруг пригодится :)

Конечно, не всё необходимо из этого списка брать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Небольшая просьба: методику тестирования (пошагово) опубликовать до проведения теста. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Wordmonger

Над этим сейчас работаем. Но скорее всего результаты первого тест будут опубликованы параллельно с методикой. В данный момент мы опубликуем только список пакеров и их версии, которые будут проверяться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Друзья, наконец то, о чем так долго говорилось в этой ветке свершилось!

Мы закончили и выложили наш первый собственный тест антивирусов, разработанный и проведенный в рамках проекта Anti-Malware.ru:

Тест антивирусов на поддержку упаковщиков (08/2006)

Более подробные результаты теста доступны:

В формате HTML

http://www.anti-malware.ru/index.phtml?part=tests

В формате Excel (полная информация по каждому антивирусу и детекшену всех упакованных вредоносов).

http://www.anti-malware.ru/doc/packers_support_08.2006.xls

Хочу особенно поблагодарить всех, кто принимал участие и содействовал в проведении данного теста!

Особенная благодарность за работу над тестом vaber и FLY.

Ну и, конечно, Николай Терещенко просто мотор, без его усилий теста бы просто не было!

Ждем ваших отзывов и замечаний :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ура, свершилось Ж)

Пошел изучать в деталях Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.