Показано с 1 по 9 из 9.

SpyCatcher

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    SpyCatcher

    Тест сделан по просьбе Tra1toR.
    Начало тестов - в ходе инсталляции мне очень непонравилось три факта:
    1. объем инсталляции 11.6 мб - для антиспайвера объем более 3-5 мб как правило нонсенс.
    2. После установки антишпион проявил качества шпиона - полез в Инет, проверил соединение запросом к
    filename=test-inet-conn.exe&path=test-inet-conn.exe и затем стал передавать какие-то данные о изучаемом ПК, например:
    POST http://data.tenebril.com/ldb2/registration.php HTTP/1.0
    Content-Type: application/x-www-form-urlencoded
    User-Agent: SCX registration
    Host: data.tenebril.com
    Content-Length: 156
    Pragma: no-cache
    firstName=aa&
    lastName=bbb&
    productFamily=SpyCatcher&
    numberOfComputers=0&
    oem=SCX&
    email=aa@.bb.com&
    isWillingToBeContacted=1&
    isEnterprise=0&
    productVersion=4.0.4HTTP/1.0 200 OK
    Date: Tue, 29 Nov 2005 07:01:08 GMT
    Server: Apache/1.3.27 (Unix) (Red-Hat/Linux) mod_fastcgi/2.2.10 mod_jk/1.2.0 mod_perl/1.24_01 PHP/4.2.2 FrontPage/5.0.2 mod_ssl/2.8.12 OpenSSL/0.9.6b
    X-Powered-By: PHP/4.2.2
    Content-Type: text/html
    X-Cache: MISS from mail.smolen.ru
    Proxy-Connection: close
    Result:SUCCESS:new registration inserted
    Я ввел имя aa, last-name = bbb и email = aa@.bb.com , но что-то не припомню, чтобы я просил передать эти данные в ходе перезагрузки.
    Далее еще интереснее - обмен вида:
    POST http://proclist.tenebril.com/tools/mplissafe-vt.php HTTP/1.0
    Content-Type: application/x-www-form-urlencoded
    User-Agent: SpyCatcher Signature Check
    Host: proclist.tenebril.com
    Content-Length: 52
    Pragma: no-cache
    filename=smss.exe&path=\SystemRoot\System32\smss.e xeHTTP/1.0 200 OK
    Date: Tue, 29 Nov 2005 07:01:59 GMT
    Server: Apache/2.0.40 (Red Hat Linux)
    Accept-Ranges: bytes
    X-Powered-By: PHP/4.2.2
    Content-Type: text/plain; charset=ISO-8859-1
    X-Cache: MISS from mail.smolen.ru
    Proxy-Connection: close
    RESULT: Clean
    Опять-же вопрос - я не просил что-то куда-то передавать, это передалось в ходе первой перезагрузки само. Таких POST прошло штук 5, не менее того. Далее такой обмен шел с завидной регулярностью - скажу сразу, я очень нелюблю программы, которые что-то там без спроса кому-то передают.
    3. Сурпризы на этом не завершились - оказалось, в продукт встроен UserMode RootKit. Зачем руткит антиспайверу (тем более столь примитивный) - загадка, но конфликт с руткитом от Sony показал, к чему приводит установка "легальных" руткитов.
    Объем базы сканера - 89604 сигнатуры. Комплект состоит из сканера с бортовыми утилитами, монитора и шедуллера.
    Сканирование тестовой коллекции (по которой летом гонялись другие антиспайверы) - скорость сканирования около 1000 файлов в минуту, вот результат по промахам:
    AdvWare 967
    Adware 2
    Backdoor 433
    Constructor 1
    Dialer 444
    Downloader 1
    Email-Flooder 1
    Email-Worm 31
    Exploit 12
    HackTool 2
    Hoax 1
    IM-Worm 6
    Net-Worm 25
    P2P-Worm 3
    Porn-Dialer 2
    Porn-Downloader 1
    PornWare 0
    PSWTool 1
    RiskWare 3
    Spy 341
    Trojan 208
    Trojan-Clicker 64
    Trojan-Downloader 813
    Trojan-Dropper 85
    Trojan-Proxy 38
    Trojan-PSW 32
    Trojan-Spy 500
    Virus 22
    Worm 3
    Общее число файлов: 4042
    ------------
    Т.е. из 4528 он пропустил 4042, поймал таким образом 486 файлов, что составило 10.7%. Пропуски равномерно распределены по всей коллекции ...
    При том, что тот-же DrWeb CureIt на сей момент выбивает близко к 90% от данной коллекции (при размере в три раза меньще и отсутствии инсталляции) вывод очивиден ....

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    Мда. Интересно, а программа платная?
    Если да, то неужели есть люди которые за нее еще и платят?
    Зайцев Олег, у меня громадная просьба. Если будет время, протестировать Spyware Doctor. Я бы сам это сделал, но коллекции кодов у меня нет. А насчет Spyware Doctor много лестных отзывов ходят, говорят до 95% ловит. Вот и хотелось бы посмотреть на деле.
    http://www.pctools.com/spyware-doctor (~5,5Mb)
    Заранее спасибо.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  4. #3
    Geser
    Guest
    говорят до 95% ловит
    Очень смешно

  5. #4
    Tra1toR
    Guest
    я так и думал полное г))
    седня вечером сделаю свой тест по AVZ чисто на spyware )

  6. #5
    Tra1toR
    Guest
    orvman SC express беслптаный

  7. #6
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    47
    Tra1toR
    SC express беслптаный
    Ясно.
    Geser
    Очень смешно
    http://forum.five.mhost.ru/showthread.php?t=2479
    PC Tools Spware Doctor (the winner) achieved 94/88/66 (detection/removal/blocking),
    А тестирование проводилось не кем-нибудь, а PC Pro magazine (http://www.pcpro.co.uk/), но это Европа.
    Вот и хотелось бы, чтобы Олег реально протестировал. Вот тогда мы и сделаем сами для себя выводы, как это в реальности бывает.
    Заметьте, это было бы очень любопытно посмотреть результаты.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от orvman
    Tra1toR Ясно.
    Geser
    http://forum.five.mhost.ru/showthread.php?t=2479
    А тестирование проводилось не кем-нибудь, а PC Pro magazine (http://www.pcpro.co.uk/), но это Европа.
    Вот и хотелось бы, чтобы Олег реально протестировал. Вот тогда мы и сделаем сами для себя выводы, как это в реальности бывает.
    Заметьте, это было бы очень любопытно посмотреть результаты.
    Я провел тесты - он практически не умеет ничего ловить ... около 13%. Беда всех подобных тестов (как в PC Pro magazine ) - выбранные наугад 50-100 образцов ... а для целостной картины нужно 4-5 тыс. ITW

  9. #8
    Tra1toR
    Guest
    Кстати вот ответ разработчиков, на замечания Олега:

    The size of SCX is due to a number of factors, not least of which is our help files, while have lots of screenshots. The product group is aware of the size of our product and helped set requirement on us for the maximum allowable size.



    The information you see transferred is not information about the user's PC. It's the registration information that the user entered. I think the user would expect that we'll send ourselves the registration information that we asked him to provide.



    The second post you see there is a suspicious file check. As SpyCatcher scans the user's machine, it does more than just compare the files against fingerprints. It applies a set of heuristics to determine whether files for which we have no fingerprints are possibly "suspicious". If it determines that it may have found a suspicious file, SpyCatcher sends some information about the file to a service we run that checks the file against a whitelist and applies another level of heuristics.



    Finally, with regard to SC being a rootkit: SC uses some techniques that are used by rootkits. This isn't surprising, given the purpose of and capabilities of SC. This is a risk that has to be managed, and the business group is aware of it. It's different from the Sony incident because the rootkit-ness of SpyCatcher is integral to its function. No one would be surprised (well, maybe not no one) that an anti-spyware or anti-virus tool uses rootkit techniques. However, everyone was surprised that putting an audio CD into your CD-ROM drive installed a rootkit.

  10. #9
    Tra1toR
    Guest
    Кстати насчет тестов я склоняюсь что !! нужно производить именно на установленных адваре и именно как они удаляет, а не просто базе, потому что например тотже SC если запустить многие вирусы будет их детктить как suspicious file, тоесть нужно проводить 1. скан по базе как олег 2. скан уже зараженного компа 3. запуск вирей для проверки монитора тоесть объективно оттестить нужно несколько параметров, предлагаю вместе придумать тест и оттестить наиболее популярные adware

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01598 seconds with 18 queries