PDA

Просмотр полной версии : Тест Антируткитов



BlackMan
05.12.2008, 11:04
Уважаемые читатели, хотел бы Вас попросить помощи в организации теста конкретно руткит-утилит и антивирусов имеющих такую функцию. Из-за отсутствия времени нет возможности искать в инете сами руткиты и список тестируемых продуктов. Хотелось бы еще услышать Ваше мнение по поводу, какие утилиты и антивирусы тестировать, то есть какие продукты заслуживают внимания. Еще интересны мысли о методологии тестирования и др., Вас интересующие.
Кидайте всё в аську 467505076
Заранее благодарен.

priv8v
05.12.2008, 20:45
Т.е Вы хотите протестировать работу разных антируткитов?
Если говорить об антивирусах - то тут сложнее - сейчас почти все антивирусы (в смысле популярные хотя бы относительно) имеют хоть какие-то антируткит технологии...
Итого, что нужно нам для тестирования:
1). Штук 7-8 антируткитов - больше потянуть трудно.
2). Сами малваре, юзающие руткит-технологии, или самому кодить лик-тесты - т.е только руткит без вредоносных функций и смотреть на реакцию на него антируткита.
Лучше все-таки тестить на ITW-образцах, чем на сборках своими силами - так более объективно будет.
Итого если берем ITW-образцы - тут нужно определится какие брать (не все же подряд запускать), т.е тут следующие технологии возможны:
2.1). Тестить популярные - т.е те, что достаточно распространены были (смотреть за последние три месяца к примеру).
2.2). Тестить выборку - т.е тестить намеренно совершенно РАЗНЫЕ руткиты (малваре юзающие разные руткит-технологии) - т.е один образец, который в юзер моде скрывает себя так, еще один, который скрывает себя в юзер моде эдак... (таких разных, по крайней мере нужно штук 8) и аналогично в кернел моде тоже штук 8 нужно разных...
2.3) Комбинации идей пунктов 2.2 и 2.1

Ну вот... с тем, что нам нужно для начала мы определились. Теперь нужно определить ЧТО мы будем тестить. Тестить можно следующее:
1). Обнаружение
2). Удаление (тут подразумевается, что может ли антируткит удалить данную малварь если ее заметил на компе).

Тестить удаление - достаточно сложно - умение удалить часто зависит от радиуса кривизны рук того, кто юзает антируткит.

Ну на последок просто перечислю, что еще можно протестить (т.е это будут булевные величины):
1. работает или нет антируткит при невозможности установить свой драйвер (т.е под юзером)
2. кол-во ложных срабатываний
3. наличие каких-то доп. функций упрощающих/помогающих обнаружению/удалению малваре
4. и т.д - можно подумать и найти еще много...

Вот вкратце было изложение моих мыслей по этому поводу.

PS: Сорри за не скромный вопрос. какой у Вас уровень знаний в этой области?.. разбираетесь ли хотя-бы теоритически в работе руткитов? занимаетесь ли реверсингом? с каким(и) языками программирования знакомы?..