Перейти к содержанию
Кирилл Керценбаум

Norton 2010

Recommended Posts

Burbulator
Может почувствовали конкуренцию...

на это может ответить только их финансовый отдел :)

Скоро почувствуют еще больше

а что такое готовится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Вопрос на самом деле вот в чем - насколько точно тесты Матоушека (в частн. на загрузку драйвера) моделируют действия реальных зловредов. У нас был такой опыт: один пытливый товарищ подобрал зловреда, аналогичного по действию одному из тестов (в принципе, если кому интересно, можно узнать). Тогда еще НИС 2009 тест провалил, а зловреда, к его удивлению, прибил Сонаром. После этого этот юзер категорически отказывается верить любым хипсовым тестам. Это, конечно, крайняя позиция, но задуматься заставляет.

Лично меня больше всего удивил провал такого старого и банального теста, как Jumper.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777
Danilka, а что реально дает тест от Матушека реальному пользователю? Я как то неврубусь, у меня куча знакомых пользуются NOD32 даже без их паршывого фаервола и не жалуються на заражение. Что тогда они делают не так?

обычным пользователям это тест ничего не дает.

потому,что они про эти тесты сроду не слышали.

товарищ проводит тесты на взломостойкость разных продуктов и выдает данные о своих экспериментах в сеть,а уж кто то верит в них,а кто то анализирует и сравнивает,а кому то все равно,кто то не верит вовсе.

насчет "кучи знакомых..с нод32 и не жалуются"

у меня предки с пк своего кроме новостей яндекса,погоды и нескольких газет вообще никуда не заходят,экзешки с программами не запускают и почтой тоже не пользуются webmoney счетов ,паролей соц.сетей итд у них тоже нет (не пользуются) и особо ценной коммерческой информации у них нет- им вообще антивирус не нужен в принципе вообще-так как терять им просто нечего.

но это не значит от этого,что первый попавшийся антивирусный продукт (с условно-халявной always лицензией у большинства в СНГ) не пропустивший ничего до поры до времени-есть оптимальная защита.

все познается во времени и сравнении.

и тот же Comodo 3 просто лучше того же eset nod32 по этим тестам,что времени придется потратить больше на снос оного с системы хакеру,чем с nod32.

это как в сюжете недавно по первому каналу о ворах и замках-профессионал откроет любую дверь-только на сложный замок уйдет пол-часа ,а на простой 3-5 минут и куда он полезет в итоге по логике?

скорее он возьмет по сотне с 10 легких квартир,чем 1000 с одной-с шансом попасться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...Тут неудачи с Kernel (Test type: General bypassing test)- данный тест проверяет возможность зловреда загрузить свой драйвер в ядро ОС- как видим продукт этому не мешает...

...Тут неудачи с Kernel1b (Test type: General bypassing test)- тест на возможность вредоноса загрузить драйвер в ядро ОС, не затрагивая "ImagePath"- как видим и тут провал-драйвер грузится...

...Тут: Kernel2 (Test type: General bypassing test)- проверка возможности загрузки драйвера зловредом с помощью Service Control Manager - драйвер успешно грузится. Kernel3 (Test type: General bypassing test) - проверка возможности загрузки драйвера зловредом с помощью недокументированных функций API - тут тоже драйвер грузится свободно..

...Crash6 (Test type: Termination test) - зловред множит дескрипторы в процессе испытуемого продукта - после переполнения таблицы процесс заврешается (тест на самозащиту) - как видно провал... DDEtest (Test type: Leak-test)- проверка защиты продуктом DDE протокола IE от использования зловредом- провал...

...Flank (Test type: Leak-test) - проверка защиты продуктом Web Browser COM interface IE от использования зловредом. Kernel4 (Test type: General bypassing test) - проверка возможности установки драйвера зловредом после перезагрузки ПК- возможность есть-продукт не ловит это...

..Kill12 (Test type: Termination test)- вредонос посылает APC всем потоками процесса-антивируса, как только эта APC получает управление, она вызывает ExitProcess - процесс продукта самоубивается- как видите неудачка у продкта(тест на самозащиту), Schedtest (Test type: Leak-test) - проверка продукта предотвратить выполнения зловредами своих функций через Task Scheduler COM interface...

...Kernel4b (Test type: General bypassing test)- возможность загрузки драйвера вредоносом с при перезагрузки ПК- провал. Kernel5 (Test type: General bypassing test) - использование зловредом отладочных функции для повышения привилегий в системе- провал... Kill5 (Test type: Termination test)-Зловред вызывает стандартную функцию завершения EndTask для окон процесса- провал, что даже очень смешно для продукта уровня NIS... (тест на самозащиту)...

...Продукт провалил тесты на загрузку драйверов, а после его загрузки Sonar бесполезен-т.е. зловред первым делом грузит драйвер и все остальное происходит в драйвере - NIS бессилен...

Danilka, можно было бы ознакомиться со списком упомянутых в Вашем сообщении "зловредов" и "вредоносов" ?

(выделено жирным шрифтом в цитате Вашего сообщения)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Vadim Fedorov

Скачать тестовые файлы можно отсюда:

http://www.matousec.com/downloads/

А список зловредов и т.д. которые обладают подобным функционалом можете поискать сами. Я не вирусный аналитик...

P.S. Кстати весело- любой мало мальский вирусописатель смотрит результаты данного теста и пишет зловреда именно под продукт, аля TDL3.... Можно не воспринимать это все в серьез- Ваша безопасность в Ваших руках, но не забывайте, что все эти результаты будут использованы вируспописателями в своих целях...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
обычным пользователям это тест ничего не дает.

потому,что они про эти тесты сроду не слышали.

товарищ проводит тесты на взломостойкость разных продуктов и выдает данные о своих экспериментах в сеть,а уж кто то верит в них,а кто то анализирует и сравнивает,а кому то все равно,кто то не верит вовсе.

насчет "кучи знакомых..с нод32 и не жалуются"

у меня предки с пк своего кроме новостей яндекса,погоды и нескольких газет вообще никуда не заходят,экзешки с программами не запускают и почтой тоже не пользуются webmoney счетов ,паролей соц.сетей итд у них тоже нет (не пользуются) и особо ценной коммерческой информации у них нет- им вообще антивирус не нужен в принципе вообще-так как терять им просто нечего.

но это не значит от этого,что первый попавшийся антивирусный продукт (с условно-халявной always лицензией у большинства в СНГ) не пропустивший ничего до поры до времени-есть оптимальная защита.

все познается во времени и сравнении.

и тот же Comodo 3 просто лучше того же eset nod32 по этим тестам,что времени придется потратить больше на снос оного с системы хакеру,чем с nod32.

это как в сюжете недавно по первому каналу о ворах и замках-профессионал откроет любую дверь-только на сложный замок уйдет пол-часа ,а на простой 3-5 минут и куда он полезет в итоге по логике?

скорее он возьмет по сотне с 10 легких квартир,чем 1000 с одной-с шансом попасться.

Нехочу начинать безсмысленную дискусию тем более в теме другого вендора, просто для сводки напомню Вам что никакой 100% защиты сейчас ниодин антивирусный продукт или комбайн предложыть не может тоесть и гарантии что Ваш ПК не будет заражен тоже как бы не существует. Дальше я думаю что Вы понимаете что спорить просто на эту тему безсмысленно ибо рано или поздно но пропускают все(у кого как). Я думаю что Вы поняли мою мысль?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Vadim Fedorov

Скачать тестовые файлы можно отсюда:

http://www.matousec.com/downloads/

Понятно, значит упомянутые Вами "зловреды" и "вредоносы" являются все-таки "тестовыми файлами", а не настоящими вредоносными программами.

Следовательно цитаты из Вашего сообщения:

"...зловред множит дескрипторы в процессе испытуемого продукта - после переполнения таблицы

процесс заврешается (тест на самозащиту) - как видно провал..."

"...вредонос посылает APC всем потоками процесса-антивируса, как только эта APC получает управление,

она вызывает ExitProcess - процесс продукта самоубивается- как видите неудачка у продкта(тест на самозащиту)..." (и т.д. по тексту)

не являются корректными, т.к. настоящие вредоносные программы не использовались, а Ваши предположения

были основаны только лишь на тестовых файлах.

Впредь стоит оговаривать это более четко и однозначно, избегая смешивания понятий, которое способно ввести пользователей в заблуждение,

либо стать причиной ошибочных недоразумений.

  • Upvote 5
  • Downvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Vadim Fedorov

Вы специально делаете вид, что не понимаете о чем речь или Вы настолько безграмотный человек?

Мы обсуждаем результаты тестирования АВ Матоусеком. Свое тестирование он проводит на тестовых файлах, которые в точности повторяют поведение той или иной вредоносной программы. Грубо говоря- можно из этого файлика с легкостью сделать вредоноса, который просто "вынесет" продукт без единого писка или загрузит вредоносный драйвер в ядро системы и т.д.... И такие вредоносы уже есть, так как вирусописатели не сидят на месте и видят где дыры в продукте компании Симантек. Так что обычным пользователям остается сидеть и ждать- закроют ли эти дыры или в один прекрасный момент их АВ пропадет из трея, а ПК станет частью бот-сети.... Хорошее отношение к своим пользователям.

Лучше чем разводить демогогию на пустом месте занимались бы полезными делами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Danilka я вас предупреждаю еще раз, не так давно Вы 3 месяца не могли писать на АМ по решению Администрации, Вы опять стремитесь к тому же самому? В данной ветке как минимум я сделаю это легко, Правила Форума Вы в очередной раз нарушили достаточно

Но так, просто чтобы расставить все точки над i и чтобы тем кто не в курсе стало понятно что ваша "забота" о Norton далека от искренности, ответьте мне на вопрос: на многих особенно подконтрольных ЛК форумах, также здесь, особенно в репутациях тех кто использует Norton Вы называете его "г..внопродуктом", а вот к примеру продукты Trend Micro восхваляете:

http://kltest.org.ru/viewtopic.php?f=19&am...nd+micro#p15294

Trend Micro же- не плохой антивирус,но все равно- у них есть одна проблема-базы не совсем оперативно пополняются,да и сам продукт немного неудобен- НО по логике часть компонентов очень схожи на KIS/KAV.

но если следовать так защищаемому вами тесту Matousec - свежайший продукт Trend Micro Internet Security Pro 17.1 набрал всего лишь 29% (а Norton - 67%), то есть более чем в 2 раза хуже, так что же Вы не пишите и об этом, в ветке Trend Micro например, или за это вам никто не платит или не обхаживает? То есть двойные стандарты?

Сразу предупреждаю, все дискуссии по этой теме будут сразу удаляться, останется только ответ Danilka, ждемс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Ответил тут

Ответ понятен, даже тему целую открыли, ну-ну, собственно ответ для меня был очевиден, если перевести на русский - Norton я просто не люблю, поэтому поливаю грязью, не из-за самого продукта, а просто симпатия не сложилась, ну а почему она не сложилась, думаю каждый сам сделает выводы. Ну а так вам еще для информации - у платного KIS хуже результаты, чем у бесплатного PC Tools Firewall Plus, почему? И загвоздочка, это супер файрвол от PC Tools мы можем элементарно вставить в NIS,потому что PC Tools принадлежит Symantec (http://www.symantec.com/about/news/release...rid=20080818_02), но не делаем этого. Почему? Потому что он замечательно проходит тесты, только пользователи от него приходят в бешенство от количества вопросов, так что еще раз повторяю, Norton ценят за простоту и при этом за высокую надежность, вам до этого еще далеко, а если Вы будете сидеть здесь, а не заниматься тестированием продуктов ЛК - вам вообще это не светит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...Мы обсуждаем результаты тестирования АВ Матоусеком. Свое тестирование он проводит на тестовых файлах, которые в точности повторяют поведение той или иной вредоносной программы. Грубо говоря- можно из этого файлика с легкостью сделать вредоноса, который просто "вынесет" продукт без единого писка или загрузит вредоносный драйвер в ядро системы и т.д.... И такие вредоносы уже есть, так как вирусописатели не сидят на месте и видят где дыры в продукте компании Симантек...

Danilka, повторю еще раз - будьте так любезны, перейдите наконец-то от голословности к фактам,

и приложите список упомянутых Вами вредоносных программ, существование которых, Вы описываете в однозначно-утвердительной манере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Danilka, повторю еще раз - будьте так любезны, перейдите наконец-то от голословности к фактам,

и приложите список упомянутых Вами вредоносных программ, существование которых, Вы описываете в однозначно-утвердительной манере.

Повторяю еще раз, если Вы меня не поняли по каким то своим причинам:

Vadim Fedorov

А список зловредов и т.д. которые обладают подобным функционалом можете поискать сами. Я не вирусный аналитик...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Повторяю еще раз, если Вы меня не поняли по каким то своим причинам:

...А список зловредов и т.д. которые обладают подобным функционалом можете поискать сами. Я не вирусный аналитик...

Понятно, т.е. какой-либо информацией о вредоносных программах "выносящих продукт без единого писка" Вы не владеете,

основываетесь лишь на собственных предположениях, но при этом нисколько не стесняясь пишите следующее:

" ..."вынесет" продукт без единого писка... И такие вредоносы уже есть... АВ пропадет из трея, а ПК станет частью бот-сети.... "

В дальнейшем, голословные утверждения не подтверждаемые фактами и нарушающие Правила форума (п11.2) - будут удаляться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
тут провал с тестом Jumper (Test type: Leak-test), данный тест проверяет защищает ли продукт настройки IE от изменения

Danilka, не путайте IE с Windows Explorer`ом, это разные вещи:). Jumper заражает как раз Windows Explorer, а в настройки IE не вмешивается:

Jumper attemps to infect Windows Explorer with its own DLL. At first, it tries to modify the registry value AppInit_DLLs and then it terminates Windows Explorer. When the Windows Explorer is run again it loads DLLs specified in AppInit_DLLs to its process. Jumper's DLL running from the Windows Explorer process launches Internet Explorer and controls its behaviour to connect to the Internet server.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Danilka, не путайте IE с Windows Explorer`ом, это разные вещи:). Jumper заражает как раз Windows Explorer, а в настройки IE не вмешивается:

Что-то не то Вы прочитали:

/*

Security Software Testing Suite - Jumper (leak-test)

Copyright by www.matousec.com, Different Internet Experience Ltd.

http://www.matousec.com/

Credits:

* Based on the original code and idea of Jumper by Guillaume Kaddouch, http://www.firewallleaktester.com/.

Guillaume Kaddouch kindly provided us a part of the source code of Jumper.

Method description:

* Internet Explorer must NOT be started.

* Change the default Start Page of Internet Explorer to URL which contains the data to transmit.

* Wait until Internet Explorer is started.

Known issues and warnings:

* Using this test will change your Internet Explorer's Start page.

*/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Юрий Паршин, см. http://www.matousec.com/info/articles/intr...eak-testing.php

Сайт Гийома Каддуша (по ссылке) лежит, более подробной инфы взять не смог. Только что провел тест с Jumper`ом, WE слетел, настройки IE не поменялись, точно так, как написано в статье на сайте Матоушека.

PS теперь понятно, кто стоит за Danilka и его постами:):)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Юрий Паршин, см. http://www.matousec.com/info/articles/intr...eak-testing.php

Сайт Гийома Каддуша (по ссылке) лежит, более подробной инфы взять не смог. Только что провел тест с Jumper`ом, WE слетел, настройки IE не поменялись, точно так, как написано в статье на сайте Матоушека.

PS теперь понятно, кто стоит за Danilka и его постами:):)

Правильно, Вы скачали не совсем то, что надо.

Leak-tests

The leak-tests are outdated and has been replaced with Security Software Testing Suite, which contains various tests, not only leak-tests.

Весь набор тестов с исходниками лежит здесь (там же правильный jumper): http://www.matousec.com/downloads/ssts.zip

Security Software Testing Suite

SSTS is a set of testing programs used mainly in our Proactive Security Challenge project. For more information about SSTS, please visit its project page. By using SSTS you agree with its licence that is included in the archive in licence.txt.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Skeptic

http://www.matousec.com/projects/proactive...level.php?num=2 читаем и вникаем.

Jumper

Test type: Leak-test

Scoring: Failure – 0%; Success – 100%.

Description: Jumper checks whether the tested product protects Internet Explorer's settings

Перевод нужен, или сами понимаете?

Понятно, т.е. какой-либо информацией о вредоносных программах "выносящих продукт без единого писка" Вы не владеете,

основываетесь лишь на собственных предположениях, но при этом нисколько не стесняясь пишите следующее:

" ..."вынесет" продукт без единого писка... И такие вредоносы уже есть... АВ пропадет из трея, а ПК станет частью бот-сети.... "

В дальнейшем, голословные утверждения не подтверждаемые фактами и нарушающие Правила форума (п11.2) - будут удаляться.

Вам я уже ответил, но мой и второй пост затерли.

Мои утверждения основанны на данных результатах

http://www.anti-malware.ru/forum/index.php...ost&p=85280

если Вы не можете понять их значение, то это уже вопрос не ко мне - читайте соответствующую литературу чтоль....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Хм... новый jumper оказался хуже старого)))

Стартовая страница IE - рис.1

Выключаем IE, запускаем тест... - рис.2

Запускаем IE, та же стартовая страница. - рис.3

Странно.

01.11.png

01.11_2.png

01.11_3.png

post-5135-1257073295_thumb.png

post-5135-1257073349_thumb.png

post-5135-1257073423_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Хм... новый jumper оказался хуже старого)))

Стартовая страница IE - рис.1

Выключаем IE, запускаем тест... - рис.2

Запускаем IE, та же стартовая страница. - рис.3

Странно.

Вы ssts.conf в папке с тестами трогали?

Там надо в конце вписать согласие с лицензионным соглашением, только тогда тест будет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Нет, не подписывал))) Но тест запускался, появилось окошко и т.д. Сейчас еще раз попробую.

И как его открыть, этот .conf? Просто блокнотом? Он реагирует на простое открытие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Нет, не подписывал))) Но тест запускался, появилось окошко и т.д. Сейчас еще раз попробую.

И как его открыть, этот .conf? Просто блокнотом? Он реагирует на простое открытие?

486f8a6cb514.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ага, спасибо, уже сам допетрил. Теперь папка level2 выглядит так (рис.1)

Но результат абсолютно тот же.

Подозреваю, что это может быть потому, что перед тестом была задействована опция НИС "защита от уязвимостей".

01.11_3_5.png

01.11_4.png

post-5135-1257075235_thumb.png

post-5135-1257075245_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Skeptic

Незнаю, кому и что Вы сейчас хотите показать, но прежде чем тестировать изучили бы мануалы к самому набору тестов, а то смешно наблюдать на попытки запустить тестовый файл, незная особенностей работы его.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×