Elementary PDM tests.

[Danilka 678]

Я ничего не обновлял.

Настройки оставлены по умолчанию.

Сигнатурный детект тестовых файлов отсутствует (последнее обновление описаний вирусов 26.02.2009 12:00:00).

Ага,спасибо. А я обновлял-базы были вчерашние.

[dr_dizel 385]

Оба примера - это прямые действия самого пользователя, здесь же речь о несанкционированных действиях сторонних приложений.

С чего вы взяли?

Программно или простым AutoIT это и многое другое делается на ура.

А [shift+Alt+Print_Screen]+[Enter] - это если вы пришли к кому-то и хотите пошутить, а можно просто командой:

C:\XP\system32>sethc 431

ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.

Не. Так не пойдёт же. Там ведь есть групповые политики. А админ пусть идёт покурит.

[priv8v 960]

Есть большая просьба: пожалуйста, кто может, протестируйте бетку NIS 2010. Имхо, он пройдет 90% или больше.

Заранее благодарен.

[Umnik 997]

dr_dizel

Попробую протолкнуть свое мнение по времени и скриншотам.

Считаю, что защитному ПО стОит детектить снятие скриншотов и перевод даты, если это не было сделано самим пользователем штатными средтсвами Windows, либо программой, имеющей статус Доверенная.

То есть игнорировать снятие скриншота и перевод даты если:

1. Пользователь нажал PrintScreen, но не использовались какие-либо программы-скриншотеры, либо использовались со статусом Доверенная

2. Пользователь использовал апплет Windows

3. Пользователь использовал скрипты. Впрочем, этот вариант можно детектить в интерактивном режиме.

Детектить и выполнять действие согласно настройкам, если:

1. Пользователь нажал PrintScreen и это перехватывает программа-скриншотер, не имеющая статус Доверенной

2. Программа, не имеющая статус Доверенной без требований пользователя снимает скриншот/переводит дату

[99-й 25]

KIS 2009 8.0.0.506(a.b.d) настройки полностью по умолчанию, файловый антивирус выключен,режим работы KIS автоматический.

ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.

01- пройден

1-пройден

2-пройден...

Не могли бы Вы расписать конкретно где какой тест(что он делает) и сообщить какие тесты были пройдены помещением в недоверенные?

[priv8v 960]

Не могли бы Вы расписать конкретно где какой тест(что он делает) и сообщить какие тесты были пройдены помещением в недоверенные?

Читаем справку к паку тестов. Там (имхо) все хорошо описано.

[Danilka 678]

KIS 2010 9.0.0.463 настройки полностью по умолчанию, файловый антивирус выключен,режим работы KIS автоматический.

ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.

01- пройден

1-пройден

2-пройден

3-пройден

4-пройден

4а-пройден

4б-пройден

Через SCRNSAVE 4v-провал

5-пройден

6-пройден

7-пройден

7-а-пройден

Изменить дату 8-провал- дает перевести дату,защита с триальным ключом отключается.С обычным ключом не отключается.

Скрыть окна 9-провал

10-пройден

11-пройден

12-пройден

13-пройден

14-пройден

15-пройден

16-пройден

17-пройден

18-пройден

[Ingener 150]

-

[Danilka 678]

Ingener

Уже качаю ее.

[Danilka 678]

Вторая бета NIS 2010 17.0.0.105 настройки по умолчанию-никакие функции не отключал-как установил,так и тестил сразу.

ОС Windows XP Pro. SP3 х86 с настройками по умолчанию-работа под админом.

Тест также получился не полным,т.к. часть файлов просто была удалена сигнатурным детектом-отключить его также не представлялось возможным,т.к. вместе с ним отключался SONAR 2.

Тестировали то,что осталось:

Записать файл в автозапуск 01-провал

Через SCRNSAVE 4v-провал

Редактирование файла hosts 5-провал

Запуск браузера с параметрами 7-провал

Запуск IE с параметрами 7а-провал

Изменить дату 8-защита не выключилась,но перевод времени не детектит.

Скрыть окна 9-провал

Кейлоггер 1 14-провал

Кейлоггер 2 15-провал

Разрушить всё что в папке 18-пройден

Итог- пройдено 2 теста из 10....

P.S. Вот такая вот эволюция....

[99-й 25]

Читаем справку к паку тестов. Там (имхо) все хорошо описано.

Я читал хелп.

Первая часть вопроса была задана для последующего удобства восприятия ответа на второй.

[Ingener 150]

-

[Danilka 678]

Да уж - комментарии излишны...

Попробуйте отключить автоматическую защиту и отогнать NIS 2010 по всем тестам, тогда он тестовые файлы не будет детектить по идеи, SONAR от неё не зависит и продолжает работать...

Нет-если отключить автоматическую защиту-SONАR 2 тоже автоматически становится отключен-он не включается без включения автоматической защиты.

[priv8v 960]

Первая часть вопроса была задана для последующего удобства восприятия ответа на второй.

Ясно

PS: удивлен работой сонар 2.

Вадим, если Вы прочитаете это сообщение, то если не сложно, расскажите почему так вышло. Ведь аналогичный лик-тест (с редактированием через батник был успешно пройден НИСом). Если не хочется давать повод к холивару, то можем пообщаться в ЛС

[Vadim Fedorov 255]

PS: удивлен работой сонар 2.

Вадим, если Вы прочитаете это сообщение, то если не сложно, расскажите почему так вышло. Ведь аналогичный лик-тест (с редактированием через батник был успешно пройден НИСом). Если не хочется давать повод к холивару, то можем пообщаться в ЛС

Хорошо, я отвечу в этой теме еще раз.

Как я уже написал, проводить какие-либо тестирования на BETA-версии Norton 2010 не имеет смысла, так как до выхода

финальной версии это не будет ни о чем говорить, потому что будут вноситься очень серьезные изменения на протяжении

всего этапа beta-тестирования. Но если Вы все-таки считаете необходимым ознакомиться с результатами BETA-версии Norton 2010

(говорящих лишь об отвлеченных результатах BETA-версии на данном этапе beta-тестирования) в написанном Вами наборе тестов,

то соответствующая действительности информация будет следующей:

Norton Internet Security 2010 BETA v17.0.0.105

Все настройки по-умолчанию (полностью автоматический режим).

Обновление антивирусных баз не производилось.

Операционная система Windows XP Professional SP3 x86

После автоматического удаления тестов, детектируемых "сигнатурно", остается следующий набор тестов -

test01

test4v

test5

test7

test7a

test8

test9

test14

test15

test18

При запуске файлов из папки "отдельно_файлы_лик-тесты" (в соответствии с указаниями автора теста priv8v),

модуль SONAR реагирует на попытку запуска, перемещая в карантин 8 файлов -

test5

test7

test7a

test8

test9

test14

test15

test18

и не реагирует на попытку запуска оставшихся 2 файлов -

test01

test4v

Видео-ролик (625 КБ) прилагаю- http://depositfiles.com/files/qh63oj3mc

В случае проблем с воспроизведением, комплект кодеков можно загрузить здесь.

Отредактировал Август 1, 2009 Umnik

[Ingener 150]

-

[Danilka 678]

Danilka

Представьте плиз тоже видео вашего теста...

Почему получились разные результаты..?

Не вопрос- видео специально снял для подобных обвинений.

Только SONAR 2 у меня не реагировал ни при запуске тестового файлика ни постфактум. Все тесты я запускал из файлов россыпью.

Ingener-если не верите мне,то скачайте сами NIS 2010 установите его,не меняйте настройки и ничего не отключайте и начните запускать тесты из папки с ними на раб. столе- результат увидите сами.

[Danilka 678]

priv8v, Вы же взрослый человек, и понимаете, что руководствоваться информацией,

полученной от сомнительного участника (к сожалению, вынужден применить точное определение) попросту неосмотрительно.

А вот обманывать и оскорблять не хорошо,мама в детстве не учила? Я выкладываю видео- мы его смотрим,и если там не будет(а его и не было) срабатывания SONAR 2(в отличии от Вашего сомнительного видео,кстати SONAR это онлайн сервис-файлики ведь можно и в какие нибудь базы добавить а? -ктстаи это тоже проверю- запущу еще раз тетсты и приложу видео,а потом запустим без интернета и приложим видео ) - Вы добровольно [***] скрываетесь в ужасе с данного портала. Ок?

P.S. Эх хорошо что я видео снял вчера,как чувствовал,что кое кто начнет [***]...

Отредактировал Август 1, 2009 Николай Головко

[dr_dizel 385]

Попробую протолкнуть свое мнение по времени и скриншотам.

Опа. А скриншоты чего вдруг всплыли? Контроль скриншотов конечно нужен. Тут главное не задедлочить комп, если игруха криво работает с видео.

А контроль изменения времени вроде уже в w7 отключили из-за постоянного нытья пользователей. Ну это просто такая штука, как алерт нажимания Num Lock.

Num Lock же [собака женского рода] опасный. Если его малвара не будет позволять выключить, то пользователь даже может и не залогиниться.

[Umnik 997]

Опа. А скриншоты чего вдруг всплыли?

До кучи.

А контроль изменения времени вроде уже в w7 отключили из-за постоянного нытья пользователей. Ну это просто такая штука, как алерт нажимания Num Lock.

Изменение времени через апллет - да пожалуйста. Изменение времени доверенной программой - пожалуйста. Изменение времени программой не из доверенных детектим (не сейчас, а считаю нужным). Но это я уже повторяюсь.

[Ingener 150]

-

[priv8v 960]

Priv8v

Вы можете придумать ещё более сложные тесты, чтобы их провалили большинство из актуальных на сегоднешний день продуктов..? Возможно ли придумать такие сложные тесты..?

Хм. Даже не знаю как лучше объяснить свою точку зрения по данному вопросу...

Дело в том, что нельзя при тестировании PDM делать тесты как мне самому заблагорассудится - можно лишь представлять в виде лик-тестов только те действия малваре, которые или уже принято детектировать (их детектят хотя бы три популярных продукта) или те, которые несут большую потенциальную опасность. Поэтому придумывать другие тесты нужно исходя из этих двух правил.

Следовательно развивать тесты имеет смысл лишь в следующих направлениях: различные способы установки драйверов, выполнение детектируемых действий через другие функции, использование системных интерпретаторов (сценариев bat, vbs, reg), атака на GUI и параметры системных программ (использование их в своих нехороших целях), подражание действиям троянjd класса hoax (полное), упаковка/криптовка самих лик-тестов и их обфускация, попытки обхода эмуляторов...

Но я не горю желанием этим заниматься - это не сложно, но требует отдачи душевных сил и нервов. С момента выкладки той версии лик-тестов на форум я не написал ни одной строчки кода для этих лик-тестов (их изменение или дополнение). И не собираюсь.

Если когда-нибудь я и соберусь делать следующую версию тестов, согласно вышеизложенным мыслям, то это будет работа с напарником - если таковой, конечно, найдется.

[Ingener 150]

-

[Umnik 997]

priv8v ничего и не "обхитрял", а использовал простые методы. Подобные поделки пишутся порой самими тестерами в тестлабах. Он же не ставил драйверы, не снимал хуки...

[Ingener 150]

-