# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Антируткиты  >  Тест Антируткитов

## BlackMan

Уважаемые читатели, хотел бы Вас попросить помощи в организации теста конкретно руткит-утилит и антивирусов имеющих такую функцию. Из-за отсутствия времени нет возможности искать в инете сами руткиты и список тестируемых продуктов. Хотелось бы еще услышать Ваше мнение по поводу,  какие утилиты и антивирусы тестировать, то есть какие продукты заслуживают внимания. Еще интересны мысли о методологии тестирования и др., Вас интересующие.
Кидайте всё в аську 467505076
Заранее благодарен.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## priv8v

Т.е Вы хотите протестировать работу разных антируткитов? 
Если говорить об антивирусах - то тут сложнее - сейчас почти все антивирусы (в смысле популярные хотя бы относительно) имеют хоть какие-то антируткит технологии...
Итого, что нужно нам для тестирования: 
1). Штук 7-8 антируткитов - больше потянуть трудно. 
2). Сами малваре, юзающие руткит-технологии, или самому кодить лик-тесты - т.е только руткит без вредоносных функций и смотреть на реакцию на него антируткита.
Лучше все-таки тестить на ITW-образцах, чем на сборках своими силами - так более объективно будет. 
Итого если берем ITW-образцы - тут нужно определится какие брать (не все же подряд запускать), т.е тут следующие технологии возможны:
2.1). Тестить популярные - т.е те, что достаточно распространены были (смотреть за последние три месяца к примеру). 
2.2). Тестить выборку - т.е тестить намеренно совершенно РАЗНЫЕ руткиты (малваре юзающие разные руткит-технологии) - т.е один образец, который в юзер моде скрывает себя *так*, еще один, который скрывает себя в юзер моде *эдак*... (таких разных, по крайней мере нужно штук 8) и аналогично в кернел моде тоже штук 8 нужно разных...
2.3) Комбинации идей пунктов 2.2 и 2.1

Ну вот... с тем, что нам нужно для начала мы определились. Теперь нужно определить ЧТО мы будем тестить. Тестить можно следующее:
1). Обнаружение
2). Удаление (тут подразумевается, что может ли антируткит удалить данную малварь если ее заметил на компе).

Тестить удаление - достаточно сложно - умение удалить часто зависит от радиуса кривизны рук того, кто юзает антируткит. 

Ну на последок просто перечислю, что еще можно протестить (т.е это будут булевные величины):
1. работает или нет антируткит при невозможности установить свой драйвер (т.е под юзером)
2. кол-во ложных срабатываний
3. наличие каких-то доп. функций упрощающих/помогающих обнаружению/удалению малваре 
4. и т.д - можно подумать и найти еще много...

Вот вкратце было изложение моих мыслей по этому поводу.

PS: Сорри за не скромный вопрос. какой у Вас уровень знаний в этой области?.. разбираетесь ли хотя-бы теоритически в работе руткитов? занимаетесь ли реверсингом? с каким(и) языками программирования знакомы?..

----------

