Просмотр полной версии : Проверка эвристических механизмов при помощи программных закладок.
На сайте компании Stocona выложены программные закладки для тестирования эвристических механизмов популярных AV программ.
http://www.stocona.ru/download/bugs.html
Проверка антивируса Kaspersky Personal 5.0
http://www.stocona.ru/download/files/TestKaspersky.zip
Проверка антивируса Norton Antivirus 2004
http://www.stocona.ru/download/files/TestSymantec.zip
Проверка антивируса Dr.Web for Windows (v. 4.31b)
http://www.stocona.ru/download/files/TestDrWeb.zip
Проверка антивируса Panda Antivirus Titanium 2004 (3.00.00)
http://www.stocona.ru/download/files/TestPandaAntivirus.zip
Проверка антивируса NOD32 Anti-virus Program (v. 2.0)
http://www.stocona.ru/download/files/TestNOD32.zip
Тестовая программа для проверки эвристических механизмов антивирусов Change_normal_dot
http://www.stocona.ru/download/files/Change_normal_dot.zip
Тестовая программа для проверки эвристических механизмов антивирусов TestForKav
http://www.stocona.ru/download/files/testKAV.zip
HATTIFNATTOR
09.12.2004, 19:59
_www.stocona.ru/download/files/TestKaspersky.zip
"Файл ex_dang.txt определяется антивирусом Касперского как файл зараженый макровирусом
Macro.Word97.VMPCK1.by.
В файл ex_dang.txt добавлена безопасная процедура, например:
***.......
И он сохранен с именем ex_notdang.txt. И как итог - не определяется антивирусом Касперского как зараженый."
KAV 4.5.0.94 определяет оба. Как Macro.Source.
Участковый
09.12.2004, 20:45
На сайте компании Stocona выложены программные закладки для тестирования эвристических механизмов популярных AV программ.
По-моему, не более чем попытка рекламы своего продукта.
_www.stocona.ru/download/files/TestKaspersky.zip
"Файл ex_dang.txt определяется антивирусом Касперского как файл зараженый макровирусом
Macro.Word97.VMPCK1.by.
В файл ex_dang.txt добавлена безопасная процедура, например:
***.......
И он сохранен с именем ex_notdang.txt. И как итог - не определяется антивирусом Касперского как зараженый."
KAV 4.0.5.94 определяет оба. Как Macro.Source.
А в этом вся и суть: данные файлы с расширением .txt в техническом плане не опасны ;D (на лицо ложное срабатывание) до тех пор пока их не перенести в область макросов документа Microsoft Office, где они приобретут вирусную функциональность.
А в этом вся и суть: данные файлы с расширением .txt в техническом плане не опасны ;D (на лицо ложное срабатывание) до тех пор пока их не перенести в область макросов документа Microsoft Office, где они приобретут вирусную функциональность.
Ерунда это. Всёравно что если екзешник с вирусом переименовать в .txt, то он не опасен. Вирус он и в Африке вирус, и на важно какое у него расширение.
Ерунда это. Всёравно что если екзешник с вирусом переименовать в .txt, то он не опасен. Вирус он и в Африке вирус, и на важно какое у него расширение.
Тогда почему бы заодно не детектить исходники вирусов? ;D
Да что уж там, давайте заносить в базы все, что содержит слова: Virus, Trojan, AdWare и т.д. ;D
Kasper, к примеру, занес тестовые закладки Finjan (http://www.finjan.com/SecurityLab/SecurityTestingCenter/) в свои базы. :'(
Тогда почему бы заодно не детектить исходники вирусов? ;D
Да что уж там, давайте заносить в базы все, что содержит слова: Virus, Trojan, AdWare и т.д. ;D
Kasper, к примеру, занес тестовые закладки Finjan (http://www.finjan.com/SecurityLab/SecurityTestingCenter/) в свои базы. :'(
Не нужно говорить ерунду. Если антивирус не детактит вирус с изменённым расширением, то такой антивирус обходится в 3 секунды. Вирус сохраняется с расширением txt, а в автозагрузку ставится бетч который его переименовывает и запускает. Бетч этот детектить невозможно. В нём 2 строки будет, и сигнатуру на него не напишешь, или сигнатура эта будет детектить каждтй второй бетч. Так вирус станет неуловимым. Так что думать нужно прежде чем писать.
Каюсь, погорячился.
Однако здесь обсуждалось ложное срабатывание антивирусов на макросы в документах Word, Excel и .txt.
Каюсь, погорячился.
Однако здесь обсуждалось ложное срабатывание антивирусов на макросы в документах Word, Excel и .txt.
То что детектить макросы так как это делают сейчас не очень умно я согласен. Но сейчас по умолчанию во всех приложениях офиса макросы отключены, так что макровирусам распространяться очень сложно. Потому о них почти ничего и не слышно.
Не нужно говорить ерунду. Если антивирус не детактит вирус с изменённым расширением, то такой антивирус обходится в 3 секунды. Вирус сохраняется с расширением txt, а в автозагрузку ставится бетч который его переименовывает и запускает. Бетч этот детектить невозможно. В нём 2 строки будет, и сигнатуру на него не напишешь, или сигнатура эта будет детектить каждтй второй бетч. Так вирус станет неуловимым. Так что думать нужно прежде чем писать.
Совершенно верно. Если детектить, то детектить по сигнатуре не зависимо от расширения, даже если нет расширения.
Кстати, переименовывать файл не всегда обязательно, чтобы его запустить, во многих случаях прокатит файлик, который делает например следующее: WinExec ('С:\VirusName.txt', SW_HIDE);
Думаю, сигнатуру для него тоже нет смысла писать, ведь WinExec стандартная функция.
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot