Реальный тест на эвристику "антивирусов"

[spw 190]

Поддерживаю Ваше мнение, о рекламном мускуле лаборатории как о покойнике, либо хорошо или ничего! Причем, практически в любой теме..., нет, нет, да и впишут хвалебную реплику ..., иногда даже не к месту, без учета названия темы (к примеру будут обсуждать лучшие бесплатные антивирусные решения и там кто-то настойчиво будет рекомендовать поставить известные тормоза)...

Однако, ЛК хорошо продвигает свою продукцию для не продвинутых пользователей ПК!!!

Вот тут-то Вы и попались со своим "всемирным заговором", "красными поросями" и т.п.

Знаете кто первым упомянул KIS/KAV? Ваш идеологический собрат по Avira. Вот первое упоминание. Так у кого глаза нужно от бревен прочистить?

Как Вы там выразились... "нет, нет, да и впишут". Вписали

[K_Mikhail 807]

Юрий Паршин

Можно. Только это скорее facepalm Перенесу эти два поста в предложения к форуму.

Лучше раздать по read-only прянику на 2 недели озвученным героям согласно озвученным причинам.

xmann

Я совершенно ни о чём не беспокоюсь, и даже против удаления каких-либо здесь постов.

Название темы - СВОБОДНОЕ ОБЩЕНИЕ (Реальный тест на эвристику), думаю именно тут любое обсуждение к месту...

Поправка: любое, кроме того, которое роняет всё и вся в "/dev/null".

Благодаря этому форуму благополучно отказался от тормозов еще в 2006 г.

Всяко позитив -- одной проблемой у Вас стало меньше.

[Umnik 997]

K_Mikhail

Да я в общем-то согласен, только торопился. Сейчас вынесу наказания, но на свое усмотрение.

[K_Mikhail 807]

K_Mikhail

Да я в общем-то согласен, только торопился. Сейчас вынесу наказания, но на свое усмотрение.

Озвучь это своё усмотрение, пожалуйста. Ты -- вендорозависимый супермодератор, как не крути, в отличие от Mr.Justice того же.

Открытость усмотрения, в данном случае, исключит возможные кривотолки и спекуляции.

[Umnik 997]

K_Mikhail и Black Angel. Пожалуйста, пользуйтесь кнопкой "Жалоба".

Наказания:

1. Инженер и xmann получили по 3 дня RO и 15 дней премода за флейм, троллинг.

2. Данил получил 1 день RO и 7 дней премода за провокацию.

Каждый вправе обжаловать наказание у вышестоящих.

[K_Mikhail 807]

K_Mikhail и Black Angel. Пожалуйста, пользуйтесь кнопкой "Жалоба".

Хорошо.

Наказания:

1. Инженер и xmann получили по 3 дня RO и 15 дней премода за флейм, троллинг.

2. Данил получил 1 день RO и 7 дней премода за провокацию.

Каждый вправе обжаловать наказание у вышестоящих.

По п.2 -- что-то должно быть одинаковым с п.1: либо RO, либо премод. Моё мнение -- RO.

[Umnik 997]

K_Mikhail

Обжалуй в разделе развития портала. Потому что мне кажется, что одиночная провокация как-то менее тяжка, нежели флейм.

[wert 60]

Установка прошла, на запуск Мастера Установки OSSS было выдано желтое предупреждение (без подписи, все дела) - разрешил. Потом Мастер OSSS запустил сканирование системы и предложил перезагрузить машину. В этот момент вылезло другое предупреждение, уже красное о записи в файл драйвера - разрешил.

Не вдаваясь в тонкости дискуссии, хотел бы поинтересоваться,

чем общефилосовски и в рамках понимания конечного пользователя,

отличается последний обсуждаемый фолс авиры и действия антивируса от КЛ?

[K_Mikhail 807]

K_Mikhail

Обжалуй в разделе развития портала.

Там только для зарегистрированных пользователей. Честно говоря, не вижу причин для сокрытия от кого-\чего-либо.

Потому что мне кажется, что одиночная провокация как-то менее тяжка, нежели флейм.

Одиночными постами были как флейм Ingener и xmann, так и провокация Danilka. Потому и стою за одинаковость RO.

[Umnik 997]

Там только для зарегистрированных пользователей. Честно говоря, не вижу причин для сокрытия от кого-\чего-либо.

Мухи и котлеты отдельно будут.

Одиночными постами были как флейм Ingener и xmann, так и провокация Danilka. Потому и стою за одинаковость RO.

Хм. У Инженера действительно 1, а xmann продолжал флеймить. Ну в общем, я не вижу необходимости в изменениях.

[K_Mikhail 807]

Мухи и котлеты отдельно будут.

Не факт. Впрочем, не спорю, дабы самому флейм не разводить.

Хм. У Инженера действительно 1, а xmann продолжал флеймить. Ну в общем, я не вижу необходимости в изменениях.

xmann вторым своим постом лишь ответил на моё предложение о RO. Он имел на это право, и это не флейм. Флеймовый его пост -- лишь 1-й.

Посему, итого:

xmann -- 1 флейм-пост.

Ingener -- 1 флейм-пост.

Danilka -- 1 провокация.

Т.е. на всех поровну. Следовательно, срок RO должен быть одинаковым.

[ak_ 395]

В продолжение темы. Кто из экспертов сможет помочь человеку и объяснить, на что именно ругается KIS?:

Всем привет!У меня такая проблема,написал программу,которая работает с плагинами.для удаления плагинов используется вторая программа ,которая вызывается с параметрами,при этом основная программа закрывается ,для того что-бы выгрузить плагины из памяти.а та что вызывается ждет пока основная исчезнет из списка процессов,удаляет плагин и запускает программу снова.

проблема такая у меня стоит kis 7.0 и ругается на код вспомогательной программы.что с этим можно сделать?

kis пишет "обнаружено: троянская программа Trojan.Win32.Swisyn.adde"

вот исходник:

#include <vcl.h>

#include <tlhelp32.h>

#include <Inifiles.hpp>

#pragma hdrstop

#include <tchar.h>

//---------------------------------------------------------------------------

AnsiString app;

void getprocc()

{

HANDLE PHandle;

PROCESSENTRY32 ProcEntry;

bool Result;

PHandle = CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS,0);

ProcEntry.dwSize = sizeof(PROCESSENTRY32);

if (!Process32First(PHandle, &ProcEntry))

{

if (ExtractFileName(ProcEntry.szExeFile) == "BeeConnect.exe") Result = true;

}

while(Process32Next(PHandle, &ProcEntry))

if (ExtractFileName(ProcEntry.szExeFile) == "BeeConnect.exe") Result = true;

// анализ результата

if (Result == true)

{

Sleep(10);

getprocc();

}

else

{

ShellExecute(NULL,"open",(ExtractFilePath(Application->ExeName)+ "BeeConnect.exe").t_str(),"",NULL,SW_SHOW);

}

}

bool getstate()

{

HANDLE PHandle;

PROCESSENTRY32 ProcEntry;

bool Result;

PHandle = CreateToolhelp32Snapshot (TH32CS_SNAPPROCESS,0);

ProcEntry.dwSize = sizeof(PROCESSENTRY32);

if (!Process32First(PHandle, &ProcEntry))

{

if (ExtractFileName(ProcEntry.szExeFile) == "BeeConnect.exe") Result = true;

}

while(Process32Next(PHandle, &ProcEntry))

if (ExtractFileName(ProcEntry.szExeFile) == "BeeConnect.exe") Result = true;

// анализ результата

if (Result == true)

{

return false;

}

return true;

}

WINAPI _tWinMain(HINSTANCE, HINSTANCE, LPTSTR, int)

{

try

{

app=ExtractFilePath(Application->ExeName);

for (int y=1;y<=ParamCount();y++)

{

if (LowerCase(ParamStr(y)) != "")

{

if (LowerCase(ParamStr(y)) == "restart") {

getprocc();

}

else

{

if (ExtractFileExt(LowerCase(ParamStr(y)))==".beecplug") {

if (MessageBox(NULL,"Вы действительно хотите установить плагин для BeeConnect?","Внимание!",MB_YESNO)==IDYES)

{

if (CopyFile(LowerCase(ParamStr(y)).t_str(),(app+"plugins\\"+ExtractFileName(LowerCase(ParamStr(y)))).c_str(),0)) {

TIniFile* pif = new TIniFile(app+"setting\\plugins.ini");

pif->WriteString("INFO",ExtractFileName(LowerCase(ParamStr(y))),"true");

delete pif;

ShowMessage("Плагин успешно установлен!");

if (getstate()==false) {

if (MessageBox(NULL,"Для запуска плагина требуется перезапуск BeeConnect.\nСделать это прямо сейчас?","Внимание!",MB_YESNO))

{

ShellExecute(NULL,"open","TASKKILL","/F /IM BeeConnect.exe /T",NULL,SW_HIDE);

Sleep(1000);

ShellExecute(NULL,"open",(ExtractFilePath(Application->ExeName)+ "BeeConnect.exe").t_str(),"",NULL,SW_SHOW);

}

}

}

else

{

ShowMessage("Не удается скопировать файл!\nВозможно нет места на диске или файл отсутствует!\nПлагин не установлен!");

}

}

}

}

}

}

}

catch(...)

{

}

return 0;

}

Анализ действий файла: http://anubis.iseclab.org/?action=result&a...amp;format=html

http://www.virustotal.com/ru/analisis/7158...35e1-1270370044

Сам файл:

reShell.rar

reShell.rar

[spw 190]

Не вдаваясь в тонкости дискуссии, хотел бы поинтересоваться, чем общефилосовски и в рамках понимания конечного пользователя, отличается последний обсуждаемый фолс авиры и действия антивируса от КЛ?

Тем, что KIS не "блокировал" драйвер, разрешил пользователю ответить утвердительно.

Avira на автомате заблокировала драйвер, никакие действия предпренять не дала. У KIS нет вердикта детекта, это анализ действий. У Avira - однозначный вердикт на файл (см. VT) - модифицированный троян.

[ak_ 395]

Avira на автомате заблокировала драйвер, никакие действия предпренять не дала.

Вы не поверите, но выбор действия с файлом зависит от настроек. И по умолчанию, если мне не изменяет память, там стоит интерактивный режим с выбором действия, среди которых есть и "Пропустить". А в самом низу (о ужас!) даже есть возможность поставить галочку "Запомнить действие". Во всяком случае, так было в версии 9.

[Юрий Паршин 330]

В продолжение темы. Кто из экспертов сможет помочь человеку и объяснить, на что именно ругается KIS?:

Анализ действий файла: http://anubis.iseclab.org/?action=result&a...amp;format=html

http://www.virustotal.com/ru/analisis/7158...35e1-1270370044

Сам файл:

reShell.rar

Ложное срабатывание автодятла - будет поправлено в одном из ближайших обновлений.

[wert 60]

Тем, что KIS не "блокировал" драйвер, разрешил пользователю ответить утвердительно.

То есть в случае реального трояна конечный пользователь тоже должен жать на разрешение?

У KIS нет вердикта детекта, это анализ действий.

Вы считаете, что конечный пользователь понимает разницу между анализом поведения и сигнатурным или эвристическим детектом?

Я очень удивлен, но Ваш ответ очень подходит под Ваше же определение фаната.

Для конечного пользователя нет никакой разницы между интерактивным поведением и автоматическим удалением.

Для него нет никакой разницы между "широкой маской" эвристика авиры и поведенческим детектом в автоматическом(sic!) режиме антивируса КЛ.

И ровно как с фолсом авиры, так и с поведенческим детектом КЛ Вы как разработчик будете вынуждены постоянно общаться с их вируслабами для внесения исключений.

Если это возможно.

Главная проблема в том, что и фолс авиры и "поведенческий детект" КЛ перекладывают всю ответственность и выбор на конечного пользователя.

И сегодня почти вся антивирусная индустрия идет по этому пути.

[spw 190]

То есть в случае реального трояна конечный пользователь тоже должен жать на разрешение?

Конечный пользователь в данном случае (так же, как и при UAC) в праве сам решить, что ему дальше делать. Если он устанавливает доверенный софт, то, очевидно, он разрешит это действие. Если же подобное предупреждение выскочет неожиданно, ни к каким действиям не привязанное, то не менее очевидно, каково действие пользователя будет. Он ничего не устанавливал и ничего не делал => вирус => запретить.

Вы считаете, что конечный пользователь понимает разницу между анализом поведения и сигнатурным или эвристическим детектом?

Нет. Зато ее понимаю я. И странно, что не вникаете в это Вы.

Решить проблему с красным запросом на (якобы) запуск драйвера можно тремя путями (причем совместно):

- исправление движка KIS (потому что никаким запуском там просто не пахнет - идет модификация системного файла; это можно трактовать как инфекцию или drop, но никак уж ни запуск);

- подпись исходного приложения, производящего эти изменения;

- произведение этих изменений в ином месте, а потом перенос (установка) с помощью MSI.

Скажите, после реализации всех этих трех вариантов, или даже любого одного из них, что поможет Avira не блокировать установку? Отвечу за Вас -- ничего. Потому что это однозначный вердикт. Он не подчиняется ничему из вышеперечисленного. И разговор как раз именно об этом.

Я очень удивлен, но Ваш ответ очень подходит под Ваше же определение фаната.

Отнюдь. См. выше. Я оперирую фактами и деталями. А здесь очень важны детали, которые Вы захотели отбросить.

Для конечного пользователя нет никакой разницы между интерактивным поведением и автоматическим удалением.

Для него нет никакой разницы между "широкой маской" эвристика авиры и поведенческим детектом в автоматическом(sic!) режиме антивируса КЛ.

И ровно как с фолсом авиры, так и с поведенческим детектом КЛ Вы как разработчик будете вынуждены постоянно общаться с их вируслабами для внесения исключений.

Если это возможно.

Как видите - разница есть. См. возможные пути устранения. А Avira на этот файл продолжает false'ить более 1.5 лет. И ничего они с этим не сделают и, видимо, не собираются делать. Затыкая отдельными исключениями.

Главная проблема в том, что и фолс авиры и "поведенческий детект" КЛ перекладывают всю ответственность и выбор на конечного пользователя.

И сегодня почти вся антивирусная индустрия идет по этому пути.

Это отдельная тема для разговора, и этот топик - точно не об этом.

[sww 486]

То есть в случае реального трояна конечный пользователь тоже должен жать на разрешение?

В случае реального трояна на файл сначала будет натравлена свора технологий: эмулятор, эвристики и т.п. Данная свора и на этот файл была натравлена, но ничего не нашла (фантастишЪ, еще бы там что-то было).

[Васька 45]

В случае реального трояна на файл сначала будет натравлена свора технологий: эмулятор, эвристики и т.п. Данная свора и на этот файл была натравлена, но ничего не нашла (фантастишЪ, еще бы там что-то было).

А у KAV имеется такая же свора технологий как и у KIS??

И почему вы так упорно наседаете на KIS? Вы точно знаете какая версия Avira стояла у клиента засовывавшего себе на комп мутный драйвер?

[sww 486]

А у KAV имеется такая же свора технологий как и у KIS??

У KAV достаточно технологий.

Вы точно знаете какая версия Avira стояла у клиента засовывавшего себе на комп мутный драйвер?

Вы совсем слепой что ли? Прочтите топик еще раз сначала.

[wert 60]

Нет. Зато ее понимаю я.

Ваше понимание ничего не добавляет к решению проблем конечного пользователя

о котором я начал говорить с самого начала и детали которому не интересны.

Это отдельная тема для разговора, и этот топик - точно не об этом.

Не совсем.

Я об этом упомянул в контексте обсуждаемой проблемы.

Можно рассматривать подходы и Авиры и КЛ как разные, но стремящиеся хоть каким-то способом защитить пользователя.

Успешно ли это, технологично ли, правильно ли с точки зрения сторонних разработчиков это я не рассматриваю.

В случае реального трояна на файл сначала будет натравлена свора технологий:

Я, я, натюрлих.

Если бы у меня было время и желание позаниматься в ответ вместе с Вами немного демагогией, я бы в ответ на Ваш пост, наверное, спросил бы

об успехах этой "своры технологий" в борьбе, например, с винлоками.

Но не буду, суть и смысл подобной беседы очевидны.

[Васька 45]

1) У KAV достаточно технологий.

2) Вы совсем слепой что ли? Прочтите топик еще раз сначала.

1) Вы не ответили на мой вопрос.

2) Ну я не вижу где сказано - там стоял просто антивирус или интернет секюрити? Если вы зрячий эксперт то пожалуйста укажите мне.

[senyak 330]

И у некоторых еще стоит звание "Эксперт". Предлагаю забанить таких экспертов на всегда, толку от таких тут нет. Лучше пускай работают. Все равно общаться нормально не умеют

[Skeptic 235]

И у некоторых еще стоит звание "Эксперт". Предлагаю забанить таких экспертов на всегда, толку от таких тут нет. Лучше пускай работают

senyak, любого другого за такое бы тут же забанили. Но этот-то ведь из ЛК, ему опять все сойдет с рук.

[senyak 330]

Не, ну само собой. Сейчас только подчистят все и все будет класс. А потом многие хотят, чтобы этот ресурс был классным, сюда приходили люди. Глядя на таких экспертов, они только уходят