Тестирование проактивных защит. PDM tests.

Printable View

Показывать 40 сообщений этой темы на одной странице

04.04.2009, 00:32
priv8v

Все верно - так и должно было быть. Он с кейлоггерами знаком.
04.04.2009, 00:38
herzn

del
04.04.2009, 11:22
herzn

Копируя, ошибся вкладкой.:)
Сорри.
05.04.2009, 11:54
Black_N

[B]Stupid keylogger leak-test[/B]
На компьютере Symantec Endpoint Protection 11.0.4014 MR4 MP1 + Norton AntiBot v.1.1.838 (технология SONAR, в SEPe пока еще нет, обещают внедрить, начиная с 12-ой версии, поэтому они друг друга дополняют) 8)...
По тесту SEP промолчал (журнал на момент тестирования чист), Norton AntiBot заметил неладное, скрин:
[URL="http://ipicture.ru/Gallery/Viewfull/16821648.html"][IMG]http://pic.ipicture.ru/uploads/090405/thumbs/MWLH8grRCs.jpg[/IMG][/URL]
05.04.2009, 17:20
MedvedD

KIS 2009 8.0.0.506 (a.b)
Авторежим. Ничего не сказал, лог пишется. Я огорчён :(

Индекс опасности - 4 (малоопасно)
05.04.2009, 17:36
priv8v

думаю, что это скорее продуманная политика компании, чем недоработка в выставлении индекса опасности в эмуляторе - т.к с кейлоггерами каспер точно знаком - причем очень хорошо.
это можно объяснить тем, что приложение не умеет работать с инетом - поэтому каспер его посчитал админской тулзой. хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.

Кстати, вот на сегодняшний день результаты его проверки на вирустотале:
[url]http://www.virustotal.com/ru/analisis/e401b9636f746b4ec9e98811230c90de[/url]
Детектит эвристиком только McAfee :)
Удивительно - даже хелло_ворлд детектят больше антивирусов)))
05.04.2009, 17:49
OSSP2008

[QUOTE]KIS 2009 8.0.0.506 (a.b)
[B][COLOR="Red"]Авторежим[/COLOR][/B][/QUOTE]

[QUOTE]хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.[/QUOTE]

При отключеном автопилоте сообщения есть?
05.04.2009, 18:03
OSSP2008

Вложений: 1

Вот KIS в интерактивном режиме
05.04.2009, 18:11
MedvedD

Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.
05.04.2009, 21:02
priv8v

[QUOTE]При отключеном автопилоте сообщения есть?[/QUOTE]
не знаю. у меня КИСа нет.

[QUOTE]Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.[/QUOTE]
а при установке КИСа какой режим по умолчанию? интерактивный/авто или еще какой-нибудь?
05.04.2009, 21:09
MedvedD

Нет, автоматический.
05.04.2009, 23:45
Helgin

KIS 8,0,0,506
У меня на тестовой машине логи не создал, кейлоггер обнаружился, но по умолчанию стоит галочка - не удалять подозрительные объекты, поэтому заполнил лог такими данными:
[QUOTE]05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger [/QUOTE]
19.04.2009, 23:22
senyak

Кто может протестировать нам NIS 2009, кому не сложно. А то говорят, что он покруче Каспера и HIPS ему не нужен
19.04.2009, 23:32
priv8v

стоит оговориться о методологии этих лик-тестов:
они годятся для тестирования эмуляторов (кис2009) - там он в чистом виде, или для тестирования поведенческих блокираторов в чистом виде: это кис 7, OSSS, Агнитум тоже, думаю, можно сюда всунуть...
А прогонять эти тесты на чем-то где и нет по заявлениями поведенческих блокираторов - бессмысленно. Какой, к примеру, толк на др.вебе тестировать эти лик-тесты?... Да никакого. Сами по себе они никакой опасности не несут - др.веб их и не детектит. А про опасные действия - это уже у них другая политика...
А если говорить про SONAR в NIS, то я на АМ (анти-малваре.ру) так и не добился ответа на вопрос занимается ли он анализом активности и на какие действия смотрит - как только мне эту информацию сообщат, то я сразу открою редактор и начну кодить или компилить уже сделанное... а пока тестить рано - не ясно какие у них технологии и против чего они направлены. Поэтому сейчас просто брать этот пак тестов и гонять по ним НИС - не нужно.
20.04.2009, 00:38
senyak

Все понял, спасибо. Слов много, а увидеть в деле хочется
20.04.2009, 00:52
priv8v

мне тоже хочется увидеть СОНАР в деле. нужно только знать в каком, что бы создать это самое дело...
04.06.2009, 13:08
Vvvyg

Прогнал тест на Comodo Internet Security (бесплатный) с проактивкой в параноидальном режиме. Пропустил только Keylogger1 и 9-й тест (скрытие окон). Я считаю, вполне достойный вариант.
04.06.2009, 17:50
Rampant

[QUOTE]параноидальном режиме[/QUOTE]
И удобно вам с параноиком общаться?
05.06.2009, 15:06
Vvvyg

Да ничего, сам такой... ;)
Это только для тестирования.
06.06.2009, 04:29
zerocorporated

[QUOTE=Vvvyg;412300]Да ничего, сам такой... ;)
Это только для тестирования.[/QUOTE]

В этом и проблема, что тестируют программы часто на "максимальных" настройках, а используют повседневно их обычно на "средних".

Показывать 40 сообщений этой темы на одной странице