Тестирование проактивных защит. PDM tests.

[B][CENTER][SIZE="4"]Elementary PDM tests[/SIZE][/CENTER][/B]

[B]С[/B]егодня во многих антивирусных продуктах (почти во всех популярных) есть технология анализа поведения программ – так называемая, проактивная защита. Модуль проактивной защиты занимается анализом поведения программ – обнаруживает потенциально опасное действие и предупреждает об этом пользователя, и уже пользователю предоставляется выбор: разрешать данное действие или нет. Это позволяет обнаруживать еще неизвестное антивирусу вредоносное программное обеспечение и блокировать его действия, но т.к подобные действия могут совершать и легитимные программы антивирус вынужден «спрашивать» у пользователя о разрешении подобных действий. К примеру, запускать в браузере какой-то сайт может как вполне безвредная программа (многие программы при установке открывают в браузере свой сайт), так и трояны, поэтому антивирус сам не может судить о вредоносности объекта, совершающего подобное действие и должен предоставлять пользователю решать самому: разрешать или нет.
Сейчас многие антивирусы превратились в целые комплексы защитного ПО – помимо антивируса они имеют модули проактивной защиты, анти-спам, firewall, родительский контроль и т.д, но к сожалению, проверить качество работы каждого модуля достаточно проблематично. Если качество сигнатурного анализа проверяется многими компаниями достаточно часто, то на проактивную защиту пока мало кто обращает внимания – серьезных тестов как таковых нет, лик-тестов крайне мало и они все старые и однотипные…
Как показывает опыт, в некоторых АВ-продуктах проактивные защиты являются лишь красивым рекламным шагом, а не грозным оружием в борьбе с вредоносным ПО – они «знакомы» лишь с тремя-четырьмя потенциально опасными действиями…
Именно поэтому была создана эта небольшая утилита – 23 лик-теста проактивных защит. Конечно, потенциально опасных действий гораздо больше, но в эту утилиту, в основном, вошли самые распространенные и критичные действия, поэтому то, как проактивная защиту будет реагировать на них, будет являться достаточно хорошим показателем ее качества.

[B]О[/B]станавливаться сейчас на технических подробностях я не буду – их все Вы сможете найти в справке к утилите, с которой просто необходимо ознакомится. Здесь хочется лишь отметить, что программа рассчитана на опытных пользователей, и ее желательно использовать на виртуальной машине, предварительно сделав снимок системы – так автору программы будет спокойнее.

[B]Л[/B]ик-тест считается пройденным, если от антивирусного ПО поступил запрос о данном действии или оно было заблокировано без запросов к пользователю. Тестировать защиты следует на настройках «по умолчанию» - т.е на таких, которые выставляются автоматически при установке данного антивирусного ПО.

[B]Д[/B]анными лик-тестами уже были протестированы несколько проактивных защит разных производителей. Результаты, мягко говоря, поразили – некоторые защиты успешно справились со всеми лик-тестами, а некоторые провалили более половины. Результаты тестирований намеренно не опубликованы – возможность это сделать предоставляется именно Вам.
С помощью этих лик-тестов Вы можете протестировать модуль проактивной защиты, установленного у Вас антивируса и при желании можете опубликовать в этой теме результаты тестирования. При большом количестве результатов разных продуктов можно будет составить сравнительную таблицу, показывающую наглядно качество проактивных защит разных антивирусов в сравнении другими.


[B]С[/B]криншот программы:
[CENTER][IMG]http://s58.radikal.ru/i161/0902/ee/4cf660e6af33.jpg[/IMG][/CENTER]

Сама программа находится в архиве в аттаче к данному сообщению. Пароль на архив: 123

При распаковке в папке "отдельно_файлы_лик-тесты" остался только один файлик test01.exe. KIS 2009 всех обозвал HEUR.Generic-ами. Рdm_tests_v1.1.exe занесён в недоверенные. Тест пройден :)

Доктор Веб сказал, что архив PDM_tests_v1.1.exe инфицирован, и переместил его в карантин. :)

[QUOTE]Доктор Веб сказал, что архив PDM_tests_v1.1.exe инфицирован, и переместил его в карантин[/QUOTE]
не аутоитом, случаем, инфицирован? если да, то так и есть - ведь хранилище файлов именно на нем и написано ради удобства включения 23 файлов в один. для такого случая - они рядом в соседней папке все по-отдельности лежит - все 23 файла...

[QUOTE]сработала лучьще чем любая PDM и убила основной тест, до его запуска, тестировать собственно нечего[/QUOTE]
повторюсь еще раз - можете не обращать на главный файл никакого внимания - это сделано лишь ради удобства и никакого отношения к тестированию этот файл не имеет - он лишь хранит в себе 23 файла и при нажатии на определенную кнопку извлекает из себя соответствующий файл и запускает его. Раз не выходит запускать через GUI - следует запускать файлы поодиночке - они в соседней папке.

[QUOTE]И отдельные файлы(тесты) замочила, больщенство!!!
[/QUOTE]
буду благодарен за подробный отчет: что Есет "замочил", а что нет. Какие действия выполнились? Какие были заблокированы или заданы вопросы? какие файлы были забиты еще до запуска.
(если авер, кстати, сигнатурно вдруг что-то задетектил, то это не считается работой ПДМ и прохождением теста - в таком случае этот файл нужно мне будет или переписать или упаковать).

[QUOTE]И это даже без более продвинутой и жосткой эвристики , интернет, емайл, DVD/CD/USB -относительно эвристики в файловом и сканере на максимальных настройках.[/QUOTE]
ну, собственно, выше было сказано про то, что нужно тестить на дефолтных настройках...

что за версия ESS, кстати??

[QUOTE=priv8v;363581]не аутоитом, случаем, инфицирован? если да, то так и есть - ведь хранилище файлов именно на нем и написано ради удобства включения 23 файлов в один. для такого случая - они рядом в соседней папке все по-отдельности лежит - все 23 файла... [/QUOTE]
Хороший вопрос. :) Я даже не посмотрел. Нет, не АвтоИтом.
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002 - контейнер AUTOIT
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\DOCUME~1\admin\LOCALS~1\Temp\autC.tmp - упакований ASCRIPT
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\DOCUME~1\admin\LOCALS~1\Temp\autC.tmp - OK
27-02-2009 23:31:49 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\Documents and Settings\admin\ 01>G89 AB>;\make_v1.1\Elementary PDM tests v1.1\for_compiler\test01.exe - OK
27-02-2009 23:31:50 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\Documents and Settings\admin\ 01>G89 AB>;\make_v1.1\Elementary PDM tests v1.1\for_compiler\test1.exe - OK
...

Конкретно обругал test6.exe
27-02-2009 23:31:50 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002\Documents and Settings\admin\ 01>G89 AB>;\make_v1.1\Elementary PDM tests v1.1\for_compiler\test6.exe - , можливо, iнфiкований STPAGE.Trojan
...
27-02-2009 23:31:51 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe\data002 - архiв iнфiкований
27-02-2009 23:31:51 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe - архiв iнфiкований
27-02-2009 23:31:52 #00 [CL] (PID = 1268) D:\Documents and Settings\Borka\Local Settings\Temp\Временная папка 1 для PDM tests v1[1].1.zip\PDM tests v1.1\PDM_tests_v1.1.exe - перемiщений як 'C:\Program Files\DrWeb\infected.!!!\PDM_tests_v1.1.exe.6DCFD4BB'

ну, в общем ясно, что "архiв iнфiкований" :)

KIS всех поместил в недоверные.

[CENTER][B][SIZE="4"]Результаты тестирования Outpost Security Suite PRO 2009[/SIZE][/B]
[/CENTER]

1 марта 2009 года.
С адреса [url]http://www.agnitum.ru/products/security-suite/download.php[/url]
Был скачан продукт Outpost Security Suite PRO 2009 с поддержкой русского и английского языков. В процессе установки по запросу инсталлятора был выбран уровень безопасности "Повышенный" (который, кстати, "Рекомендуется только для продвинутых пользователей"), а в других настройках выбор можно было не делать - оставить все так, как предлагал инсталлятор, так и было сделано, т.е все настройки были "по умолчанию" для повышенного уровня безопасности.
Все файлы запускались "вручную", т.е без использования GUI.

По результатам тестирования была составлена таблица результатов, которую вы можете увидеть ниже, но следует дать некоторые расшифровки значений:

[B] - / А[/B] -- означает: Тест провален. Правила созданы автоматически.
Это означает, что действие было выполнено, запросов на разрешение/блокировку не поступало - правила были созданы автоматически.
[B]- / -[/B] -- означает: Тест провален. Никакой реакции при этом от Outpost не было.
Это означает, что действие было выполнено, но ни запросов на разрешение/блокировку, ни автосоздания правил для данной программы не было.
[B]+ / А[/B] -- Тест пройден. Правила созданы автоматически.
Этот вариант можно увидеть лишь напротив теста 18 - это означает, что действие было выполнено, но на работу Антивирусного комплекса это не повлияло.

Также особо хочется оговориться о восьмом тесте (о переводе даты) - здесь получилась очень грустная и забавная ситуация - при переводе даты и после перезагрузки защита была отключена, т.к истекла лицензия, а в виду того, что дата переводилась на 2021 год, то очевидно, что это очень серьезная уязвимость в данном продукте, которую необходимо исправить в наикратчайшие сроки.

[B]Таблица результатов:[/B]
[IMG]http://s58.radikal.ru/i160/0903/2d/c151d09d0d43.png[/IMG]

[B]Общий вывод:[/B]
Полностью провалены 8 тестов: действия были выполнены, реакции от антивирусного комплекса не было.
Частично провалены 13 тестов: действия были выполнены и правила были автоматически созданы. Это говорит лишь о несовершенстве системы автосоздания правил для приложений.
1 тест был полностью пройден.
1 тест провести не удалось - файл hosts не удалось отредактировать из-за обстоятельств, не связанных с антивирусным комплексом.

На машине стоит AntiVir PersonalEdition Premium 8 (эвристика максимум), и так же Spyware Terminator 2.5.1 (функция HIPS включена). Так же стоит Comodo 2 серии…..(все обновлено на момент теста)
Система работает с правами админа.
При распаковке архива, Авирой были «убиты» 6, 10, 11, 12, 16 файл.
Далее соответственно работал только Spyware Terminator и Comodo
Test 0 : заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 1: Пройден
Test 2: заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 3: Пройден
Test 4; 4a; 4б; 4в: Пройден
Test 5: ругнулcя на dll, не является win32...пройден видимо
Test 7; 7а: Comodo выдал предупреждение, запрет соединения, тест провален.
Test 8: Пройден
Test 9: Пройден
Test 13: никто не чего не сказал….видимо да)
Test 14: Пройден
Test 15: Пройден
Test 17: Пройден
Test 18: Пройден
Результат немного шокировал!..

hitman_007, спасибо участие в тестировании.
Предлагаю сделать так: я сейчас задам несколько вопросов на уточнение, Вы на них ответите и после этого Вы сами или с помощью модератора/админа отредактируете свое сообщение - т.е оформим Ваше сообщение так, что бы всем было понятно и это можно было бы считать более-менее официальным тестом комплекса систем.

[QUOTE]При распаковке архива, Авирой были «убиты» 6, 10, 11, 12, 16 файл. [/QUOTE]
сигнатурно? какие окна она выдала? или примерно.

[QUOTE]Test 1: Пройден[/QUOTE]
что это означает? - вариантов может быть два: действие было выполнено (значит тест провален) и действие было заблокировано (тест пройден). (это я для уточнения спросил).

[QUOTE]Test 5: ругнулcя на dll, не является win32...[/QUOTE]
так ругается не антивирусное средство, а система при запуске нового приложение в пространство которой через апп_инит памится длл, которая длл не является, т.е это ругань системы.

И еще - много где указано "пройден" - это означает, что действие было просто молча заблокировано и не было выполнено?..

[QUOTE]Test 7; 7а: Comodo выдал предупреждение, запрет соединения, тест провален.[/QUOTE]
если от антивирусного средства был вопрос о разрешение/запрещении и удалось действие заблокировать - значит тест не провален, а наоборот пройден.
Т.е: мы тестируем не лик-тесты, а антивирусные средства и "пройдено" или "провалено" мы рассматриваем именно с их стороны - если сумели заблокировать или спросили можно ли блокировать - значит тест прошли. Если же действие файла было выполнено - значит антивирусное средство тест провалило.

[QUOTE=priv8v;364543]
сигнатурно? какие окна она выдала? или примерно.
[/QUOTE]
Heur/Hijack :>
Но, к примеру, файл petestpdm.exe благополучно ушел в sys32, Авира( уровень эвристики-средний) на него не реагировала, а товарищ KAV 8...506, в дальнейшем, обнаружил этот файл как "троянская программа Heur.Trojan.Generic" и устроил лечение активного заражения;)

[B]Важно:[/B]
Для начала приведу несколько цитат с официального российского сайта компании ESEТ, в которых говориться об этом продукте, дабы избежать возможных недоразумений по поводу того есть у ESS хоть что-то связанное с проактивными технологиями или нет.
[QUOTE][SIZE="1"]
ESET NOD32 Smart Security проактивно обнаруживает и блокирует более 70% новых вредоносных программ, сигнатуры которых еще не содержатся в вирусных базах.[/SIZE][/QUOTE]
[QUOTE][SIZE="1"]Программа ESET NOD32 Smart Security представляет собой единое интегрированное решение, обеспечивающее лучшее проактивное обнаружение угроз.[/SIZE][/QUOTE]


[CENTER][SIZE=4][B]Тестирование Eset Smart Security 3.0.684.0[/B][/SIZE]
[/CENTER]

2 марта 2009 года.
С официального сайта был скачан антивирусный комплекс ESS (Eset NOD32 Smart Security) версии 3.0.684.0.
При установке приложения необходимо было сделать выбор режима детектирования "потенциально нежелательного ПО" (включить режим или не включать). Было выбрано "Включить обнаружение потенциально нежелательного ПО". Остальные настройки остались без изменений. Тестирование проходило при настройках ESS "по умолчанию".
При проведении тестирования все файлы запускались "вручную", т.е без использования GUI.

По результатам тестирования была составлена таблица результатов, которую вы можете увидеть ниже, но следует дать некоторые расшифровки значений:
- означает, что тест провален: действие было выполнено и запроса на разрешение/блокировку от антивирусного комплекса не поступало.
+ означает, что тест пройден. Такое обозначение можно увидеть напротив восьмого теста - это означает, что смена даты не повлияла на функционирование ESS.
+/- означает, что файловые операции были запрещены, но записи в реестре были созданы. Считается, что тест пройден.

Отдельно хочется оговориться о результатах пятого и восемнадцатого тестов: пятый провести не удалось из-за обстоятельств, не связанных с антивирусным комплексом, а тест 18 был провален, т.к после его запуска и перезагрузки антивирусный комплекс перестал функционировать.

[IMG]http://s57.radikal.ru/i158/0903/a3/b22c9a7ba2b9.png[/IMG]

Общие выводы:
3 теста пройдено.
19 тестов провалено.

На машине стоит AntiVir PersonalEdition Premium 8 (эвристика максимум), и так же Spyware Terminator 2.5.1 (функция HIPS включена). Так же стоит Comodo 2 серии…..(все обновлено на момент теста)
Система работает с правами админа.
При распаковке архива, Авирой были «убиты» 6 (TR/Agent.6144.30), 10 (TR/FwBypass.A.131), 11 (TR/Regdis.5632.1), 12 (TR/DisableTask.5632), 16 (TR/Hijacker.Gen) файл.
Далее соответственно работал только Spyware Terminator и Comodo
Test 0 : Провален (Spyware Terminator заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 1: Провален
Test 2: Провален ( Spyware Terminator заблокировал, спросил разрешить\нет (показал что файл в «зеленой зоне»).
Test 3: Провален
Test 4; 4a; 4б; 4в: Провален
Test 5: Провален
Test 7; 7а:Avira - Провален ( Comodo выдал предупреждение, запрет соединения, тест пройден)
Test 8: Пройден
Test 9: Провален
Test 13: Провален
Test 14: Провален
Test 15: Провален
Test 17: Провален
Test 18: Пройден
Результат немного шокировал!..мое мнение, что хороший антивирусник + HIPS + firewall = хорошую защиту....тяжело менять хоть какие-то устои((((

вопрос по тесту 8 и 18: как Вы определили, что они провалены?..

тест пройден, но только Spyware Terminator. Антивирусник то его провалил.
Если подбить общие результаты, выходит 5 тестов пройдено с помощью Avira, и еще 4 с помощью Spyware Terminator и Comodo...слабо вселяет надежду на защиту все же.
Test 8: дата изменилась на 11 год, май месяц вроде.
Test 18: Папка указанная была заблокирована.
Тест делался не на виртуалке, все изменения в принципе хорошо видны.

[QUOTE]Test 8: дата изменилась на 11 год, май месяц вроде.
Test 18: Папка указанная была заблокирована.[/QUOTE]
Поймите меня правильно - мне хочется, что бы Ваше тестирование дошло до своего логического и правильного завершения, поэтому я задаю какие-то вопросы, что бы выяснить все ли Вы правильно делали.
Поэтому:
тест8 - дата должна была поменяться на 21 год (видимо, Вы просто опечатались). но это не главное - почитайте хелп (в архиве есть папка help и там подробные описания каждого теста). Тест8 считается пройденным в двух случаях: или это действие было заблокировано или оно было выполнено, но на антивирус это не оказало никакого воздействия даже после перезагрузки компьютера. Т.е этот тест нацелен на выведение из строя каких-либо модулей антивируса или его целиком - если этого не произошло - [B]тест пройден[/B] (а если из-за перевода даты антивирус перестал работать и стал просить продлить лицензию - тест провален).

тест18 - тест также может быть пройденным в двух случаях - или действие было заблокировано или оно не возымело никакого эффекта на антивирусное средство. Т.е разрушать нужно не просто какую-то папку, а папку антивируса - если он будет работать и дальше (и после перезагрузки компьютера) - значит тест пройден. А если антивирус перестанет работать - тест провален.
Читайте выше - я подробно описал влияние теста18 на аутпост и на есет смарт секьюрити. К примеру есет его провалил - после перезагрузки он отказался работать. А аутпост тест прошел - после перезагрузки он все равно работал.

Вы явно не уважаете труд других. И хватит тут оскорблять других. Касперыч не наш, он Евгения Касперского. И не будем спорить, что НОД лучше него. Да и вообще, Вы столько бреда написали, что лучше удалить.

P.S. Помнится мне, Вы уже писали подобный пост и его удалили. Вы что, их сохраняете?

И вообще, если не соображаете, просто не пишите ничего. А если слишком умные, ждем Ваши тесты

Уважаемый, ртфм. Если знаете, как переводиться слово help - найдете.
Фаерволы мы не не тестируем этими тестами. Любой продукт тестится так: ставиться и запускаются по очереди файлы. Т.е НИКАКИЕ настройки не изменяются.
Тест предназначен для ОС ХР

[QUOTE]P.S. Помнится мне, Вам уже давали предупреждение, только у Вас был другой аккаунт. Вы себе новый завели?
И вообще, если не соображаете, просто не пишите ничего. А если слишком умные, ждем Ваши тесты
[/QUOTE]
senyak, не нервничайте. Это же виталег - знаменитый клоун сферы ИБ в РФ. Скоро его забанят, а пост удалят.
Наоборот, если бы критика была здравая - я бы ее принял. Возможно критика и здравая, но я не смог ее понять из-за того, что Виталег намеренно пренебрегает правилами русского языка.
Я уж и сам подумал - вдруг я что-то неверно делал при тестировании ESS, но думаю, что делал все верно - косил под новичка и никакие настройки не менял, никуда не лез, ничего не делал - просто запускал файлы.
:)
PS: буду рад любой аргументированной критике и советам.
можно не только на форуме, но и в ЛС.

Тест8 ..[I]а если из-за перевода даты антивирус перестал работать и стал просить продлить лицензию.. [/I]- тест пройден - хоть и перевелось время, и ключ лицензии слетел, основное назначение свое антивирусник делает - все по прежнему ловит (но это наверно применимо далеко не ко всем антивирусникам...)
тест18 - [I]тест также может быть пройденным в двух случаях - или действие было заблокировано или оно не возымело никакого эффекта на антивирусное средство. Т.е разрушать нужно не просто какую-то папку, а папку антивируса - если он будет работать и дальше (и после перезагрузки компьютера) - значит тест пройден. А если антивирус перестанет работать - тест провален.[/I]
Тест непонятным вышел - папка заблокирована, но это не повлияло на работу в целом, все пашет, сканирует. Но после перезагрузки служба Guard была отключена (хотя без проблем запустилась из самого антивируса). Больше наверно склоняется как провал теста.
Хотел уточнить по тестам 14 и 15 - создались файлы с расширением txt, но в них пусто....так и должно быть?

[QUOTE] тест пройден - хоть и перевелось время, и ключ лицензии слетел, основное назначение свое антивирусник делает - все по прежнему ловит (но это наверно применимо далеко не ко всем антивирусникам...)
[/QUOTE]
отредактируйте тогда свое предыдущее сообщение - исправьте на то, что тест пройден.

[QUOTE]Хотел уточнить по тестам 14 и 15 - создались файлы с расширением txt, но в них пусто....так и должно быть?[/QUOTE]
да. один из них просто на всякий случай создает файл - делает видимость, что он нужен ему, а другой создает файл и иногда и если что-то печатать - он будет туда записывать (на английском).

[QUOTE]ты чего не доганяещь что в эвристеке реализован тотже пдм и тажа жипс только более умная -анализирует в вертуальной среде без запуска опасного файла на реальной мащине и с точным детектом[/QUOTE]
эту мысль я понял. :)

Вы лучше скажите в чем неправильность проведения тестирования?
Мы чем-то обделили ЕСЕТ? Мной с офф. сайта была скачана указанная версия указанного числа. Все легально. Затем установил, никаких настроек не трогал. Затем стал запускать по очереди файлы и после написал, что у меня из этого вышло - вот в двух словах методология тестирования.
Я не сказал, что результаты плохие или еще что-то - просто показал как реагируют на данный момент технологии ЕСЕТа на эти файлы.

У нас все участники на равных - и КИС и ЕСЕТ и Агнитум. Я лицо незаинтересованное - я не являюсь сотрудником какой-либо АВ-компании.

PS: естественно все справедливо только для ХР - все писалось для нее родимой.
PS2: ого. вот и говорить более-менее русским языком начали, когда захотели:)
Обоснуйте свою точку зрения - расскажите в чем моя ошибка тестирования ESS этими лик-тестами - если Вы окажетесь правы, то естественно, тестирование будет проведено заново, а старые результаты будут удалены.

[b]2 priv8v[/b]
Spasibo za testy i obzor! O4en' poznavatel'no.
P.S. Ne rugajte za translit, piwu s [url=http://www.blackberrypearl.com]BlackBerry Pearl 8100[/url], a on u menya po-russki tol'ko 4itat' umeet ;-)

Не знаю насколько целесообразно на данный момент писать результаты, но захотелось вот провести еще раз проверку антивируса (конкретно Avira 8.2.0.)…
Теперь при распаковке архива, Авирой были «убиты» файлы:
01 - TR/Drop.Agent.6144
1 - TR/UserStartup.loi
2 - TR/UserStartup.kij
4 - TR/UserStartup.lok
4a - TR/UserGet.B
4b - TR/UserGet.H
4v - TR/UserGet.A
6 - TR/Agent.6144.30
7 - TR/UserGet.D
7a - TR/UserGet.C
8 - TR/UserGet.G
9 - TR/UserGet.F
10 - TR/FwBypass.A.131
11 - TR/Regdis.5632.1
12 - TR/DisableTask.5632
13 - TR/UserGet.E
16 - TR/Hijacker.Gen
17 – TR/Denis.A
Вкратце вывод: после 9 дней, были обезврежены еще 13 угроз…сдвиги канечно порадовали, интересно было бы узнать, подтянулись ли другие участники ))
P.S. Ну и test 8 и 18 вреда не причиняют, так что конкретно Avira с ними справилась….

[quote=hitman_007;370139]
Вкратце вывод: после 9 дней, были обезврежены еще 13 угроз…сдвиги канечно порадовали, интересно было бы узнать, подтянулись ли другие участники ))
P.S. Ну и test 8 и 18 вреда не причиняют, так что конкретно Avira с ними справилась….[/quote]
Ничего на самом деле не изменилось - суть в тесте PDM, а тут имеет место просто лобовой детект по сигнатурам ...

Ну специалистам конечно видней, но рядовым пользователям и этого хватит, что бы запретить доступ (удалить)...Все же пускай будут сигнатуры, не повредит дак точно!:)

[quote=hitman_007;370149]Ну специалистам конечно видней, но рядовым пользователям и этого хватит, что бы запретить доступ (удалить)...Все же пускай будут сигнатуры, не повредит дак точно!:)[/quote]
Как раз наоборот :) Эти тестовые семплы не опасны и ничего такого не делают, детектить их все сигнатурно - странное решение :) (причем защищенность ПК от этого совершенно никак не повысится)

[QUOTE]детектить их все сигнатурно - странное решение[/QUOTE]
"не мытьем, так катаньем" :)
ладно, что еще хоть не троянами-даунлоадерами обозвали...

Каюсь, это я "сдал" тестовые файлы в вирлаб Авиры. :) Любопытно было посмотреть на результат. Вот их вердикт:[QUOTE]File ID Filename Size (Byte) Result
25282450 123.zip 42.63 KB OK


A listing of files contained inside archives alongside their results can be found below:File ID Filename Size (Byte) Result
25282451 test17.exe 6 KB MALWARE
25282452 test18.exe 6 KB CLEAN
25282453 test01.exe 6 KB MALWARE
25282454 test1.exe 6 KB MALWARE
25282455 test2.exe 6 KB MALWARE
25282456 test3.exe 5.5 KB MALWARE
25282457 test4.exe 6 KB MALWARE
25282458 test4a.exe 6 KB MALWARE
25282459 test4b.exe 6 KB MALWARE
25282460 test4v.exe 6 KB MALWARE
25282461 test5.exe 5.5 KB MALWARE
25282462 test7.exe 5.5 KB MALWARE
25282463 test7a.exe 5.5 KB MALWARE
25282464 test8.exe 5.5 KB MALWARE
25282465 test9.exe 5.5 KB MALWARE
25282466 test13.exe 5.5 KB MALWARE
25282467 test14.exe 6.5 KB MALWARE
25282468 test15.exe 5.5 KB MALWARE[/QUOTE]
Ответ получен 10.03.09 в 10:35. Несколько файлов уже детектились до этого.
В связи с этим хотелось бы проверить эвристику Авиры: можно изменить тестовые файлы так, чтобы они выполняли те-же действия и посмотреть, как на них будет реагировать Avira. Может, благодаря этим сигнатурам будут ловиться зловреды, использующие подобные методы работы.
Кстати, новый билд Аутпоста показывает заметно лучшие результаты, чем предыдущий (тестировал оба с максимальными настройками).

[QUOTE]В связи с этим хотелось бы проверить эвристику Авиры: можно изменить тестовые файлы так, чтобы они выполняли те-же действия и посмотреть, как на них будет реагировать Avira.[/QUOTE]
В принципе, можно - но это нужно долго и упорно переписывать каждый файл - смотреть не детектит ли его Авира и браться за следующий, в противном случае переписывать еще раз. Проще сделать по-другому: упаковать по очереди все файлы каким-нибудь хитрым протектором, например, какой-нибудь новенькой версией Themida или другого... - т.е смотреть на поведенческий блокиратор - если он там есть, конечно...

[QUOTE]Может, благодаря этим сигнатурам будут ловиться зловреды, использующие подобные методы работы.[/QUOTE]
благодаря ЭТИМ сигнатурам - точно не будут ловиться другие лучше - т.к эти действия избиты и все их используют - поэтому добавление в БД ЭТИХ сигнатур - капля в море и роли не сыграет никакой.

[QUOTE]Кстати, новый билд Аутпоста показывает заметно лучшие результаты, чем предыдущий (тестировал оба с максимальными настройками).[/QUOTE]
какая версия?..
с какой сравнивали? уже вышла новая версия OSS?

Имел в виду Outpost Firewall Pro 2009 Версия: 6.5.3 (2518.381.0686), дата релиза: 4 марта 2009.
По поводу безопасномсти этих тестов: например трюк с переводом системной даты я не считаю таким уж безобидным, хотя на работе Авиры и Аутпоста он не сказывается критически - эти продукты с просроченой лицензией продолжают полноценно работать, просто не могут обновлять базы.
[QUOTE]В принципе, можно - но это нужно долго и упорно переписывать каждый файл - смотреть не детектит ли его Авира и браться за следующий, в противном случае переписывать еще раз. Проще сделать по-другому: упаковать по очереди все файлы каким-нибудь хитрым протектором, например, какой-нибудь новенькой версией Themida или другого... - т.е смотреть на поведенческий блокиратор - если он там есть, конечно...[/QUOTE]
Можно и так, хотя мне в данном случае интересно было бы посмотреть именно на работу [B]эвристики[/B], поскольку поведенческого блокиратора (в том виде, что есть у ЛК) у Авиры нет, их модуль HIPS пока даже не вышел на стадию бета-тестирования.

[QUOTE]По поводу безопасномсти этих тестов: например трюк с переводом системной даты я не считаю таким уж безобидным[/QUOTE]
про то, что нужно все тесты проводить на вирт машине я написал везде где только можно - разве что у себя на плече такую татуировку не сделал:)

А вот предыдущая версия аутпоста отрубалась и не работала от перевода даты - вообще не работала.
[url]http://virusinfo.info/showpost.php?p=364272&postcount=8[/url]

Если не сложно, то опубликуйте результаты тестирования новой версии аутпоста - сравним с предыдущей:)

Система Windows XP SP3, файловая система FAT32, cхема защиты: [B]Avira AntiVir Premium 8[/B] + [B]Outpost Firewall Pro 2009[/B] Версия: 6.5.3 (2518.381.0686) c максимальными настройками (настройки по-умолчанию мне не интересны). Тест проводился под [B]ShadowUser Pro[/B] c cохранением изменений после перезагрузки. Авира отключена для исключения влияния сигнатурного детекта. Фактически это тест проактивной защиты файрволла.
Провалены тесты:
Test3 - никакой реакции, авторан и pdmtestfile.exe благополучно появились на диске С и сохранились после перезагрузки. (Толку от этого, правда никакого, поскольку у меня отключен автозапуск с HDD, CD и сменных носителей.)
Test4 и 4а - никакой реакции, но после перезагрузки изменения не сохраняются.
Test8 - никакой реакции, дата меняется на 2021 год.
Test9 - никакой реакции. Окна скрываются.
Test10 - никакой реакции.
Test13 - никакой реакции, но файл не скрыт и легко находится в папке System32 стандартным поиском.
Test16 - Error. Видимо, пройден.
Test17 - никакой реакции.
Test18 - пройден. Аутпост показывает попытку запуска [B]cmd.exe[/B]. Даже если разрешить, то содержимое папки не уничтожется (указывал папку Avira) и после перезагрузки антивирус работает в штатном режиме.
[I]Добавлено[/I]:
Остальные тесты успешно пройдены.

[QUOTE]Test13 - никакой реакции, но файл не скрыт и легко находится в папке System32 стандартным поиском.[/QUOTE]
какой именно файл? (имя)
[QUOTE]то содержимое папки не уничтожется[/QUOTE]
и не должно. отнимаются просто права.

Файл [B]testpdm.exe[/B] был обнаружен поиском в папке System32 после проведения всех тестов, возможно, это не результат теста13.
Провёл отдельно test13 - никакой реакици. AVZ не может найти [B]testpdm.exe[/B] в папке WINDOWS, HijackThis: Open the Misc Tool section - Open ADS Spy... - функция не работает с FAT32.
Может этот тест работает только на NTFS?

[QUOTE]Может этот тест работает только на NTFS?[/QUOTE]
да. я просто прохлопал ушами то, что у Вас фат32. альтернативные потоки только в нтфс, поэтому нужно быть аккуратным при копировании данных на флехи - если что-то намеренно положено в стримы может потеряться.

Было бы интересно сравнить тесты 3-й и 4-й версий Eset-овских продуктов.

[QUOTE]Было бы интересно сравнить тесты 3-й и 4-й версий Eset-овских продуктов.[/QUOTE]
на дефолтных настройках различия небольшие - уже тестили бегло, а медленно и со всеми проверками, и оформлением не делали пока - это слишком долго и нудно. Но раз есть интересующиеся - будет время - выложу.

4 Есет убил Тест1, 2, 6, 11, 12. Остальные выполняются. Мда, дыра ещё та...

[SIZE="1"]Не планирую вставлять в пак вышеприведенных лик-тестов, но это также лик-тест и имеет полное право появиться в этой теме.
[/SIZE]

[CENTER][B][SIZE="4"][B][COLOR="DarkGreen"]Stupid keylogger leak-test[/COLOR][/B][/SIZE][/B][/CENTER]

[B]О[/B]дним из направлений поведенческих блокираторов и различных систем HIPS является обнаружение и обезвреживание зловредов семейства "монитор" - приложений, следящих за действиями пользователя. Типовым примером может служить обычный кейлоггер. Кейлоггеров много и различаются они как по техническим характеристикам (способами слежения, функциям), так и по назначению (следить за пользователями на собственном ПК или использовать массово как троян).

[B]В[/B] описании практически каждого антивирусного комплекса есть слова о том, что продукт защищает от кейлоггеров. Для проверки слов и существуют лик-тесты и реальные запуски ITW-образцов.
В вышеприведенном паке лик-тестов есть 2 аналогичных кейлоггера, но они не могут наглядно отобразить наличие угрозы перехвата данных. Поэтому было решено переработать кейлоггер для того, что бы его поведение было наиболее похожим на поведение реального кейлоггера в системе и для того, что бы пользователю, тестирующему антивирусный продукт были видны все результаты работы кейлоггера.


[B]П[/B]оэтому в кейлоггер были включены следующие функции и возможности:
* Слежение за набираемыми на клавиатуре данными и их логирование
* Слежение за текстом в буфере обмена и его логирование при его изменении
* Логирование того в каком окне набирается текст
* Создание удобочитаемого html лога
* Работает без инсталляции в систему

[B]Т[/B].к это лик-тест на него распространяются некоторые ограничения, которые и отличают лик-тест от реального трояна, но эти ограничения не влияют на детектирование его подозрительной деятельности в системе, т.к не имеют к ним никакого отношения:
* Логируются только английские буквы (текст набранный на русском языке и цифры записываться в лог просто не будут)


[B]Р[/B]абота с кейлоггером:
* Лог создается в текущей директории: файл stupid_keylog_log.htm
* Содержимое буфера обмена находится в строке серого цвета
* Заголовок окна в строке зеленого цвета
* Считанные данные между зелеными строками черным шрифтом
* Что бы завершить работу кейлоггера следует активировать Num Lock и нажать на клавишу 0 (на клавишу ноль не в ряду цифр, а на блоке цифр на клавиатуре справа) или просто завершить работу кейлоггера через Диспетчер задач


[B]К[/B]ейлоггер является простым в плане того, что используемые им приемы и функции очень распространены в реальных образцах, хорошо документированы и просты в реализации.


[B]Р[/B]азная информация:
* Размер 8 Кб
* Портабельно - запускать можно с флешки
* Написан на С++
* Ничем не упакован
* [B]Создан для удобства тестирования детекта кейлоггеров антивирусными продуктами[/B] - мало весит, прост в использовании, нагляден, не требует инсталляции, гарантированно не имеет "левых" функций, максимально приближен к реальным образцам malware, использует одну из самых распространенных технологий слежения за клавиатурой


[B]С[/B]качать:
slil.ru/27366634

Аутпост Про при запуске выдаёт предупреждение:
[URL=http://www.radikal.ru][IMG]http://i027.radikal.ru/0904/00/a28efdf29bc4.jpg[/IMG][/URL]