Тестирование проактивных защит. PDM tests.

[priv8v]

ты чего не доганяещь что в эвристеке реализован тотже пдм и тажа жипс только более умная -анализирует в вертуальной среде без запуска опасного файла на реальной мащине и с точным детектом

эту мысль я понял.

Вы лучше скажите в чем неправильность проведения тестирования?
Мы чем-то обделили ЕСЕТ? Мной с офф. сайта была скачана указанная версия указанного числа. Все легально. Затем установил, никаких настроек не трогал. Затем стал запускать по очереди файлы и после написал, что у меня из этого вышло - вот в двух словах методология тестирования.
Я не сказал, что результаты плохие или еще что-то - просто показал как реагируют на данный момент технологии ЕСЕТа на эти файлы.

У нас все участники на равных - и КИС и ЕСЕТ и Агнитум. Я лицо незаинтересованное - я не являюсь сотрудником какой-либо АВ-компании.

PS: естественно все справедливо только для ХР - все писалось для нее родимой.
PS2: ого. вот и говорить более-менее русским языком начали, когда захотели
Обоснуйте свою точку зрения - расскажите в чем моя ошибка тестирования ESS этими лик-тестами - если Вы окажетесь правы, то естественно, тестирование будет проведено заново, а старые результаты будут удалены.

[GRom]

2 priv8v
Spasibo za testy i obzor! O4en' poznavatel'no.
P.S. Ne rugajte za translit, piwu s BlackBerry Pearl 8100, a on u menya po-russki tol'ko 4itat' umeet ;-)

[hitman_007]

Не знаю насколько целесообразно на данный момент писать результаты, но захотелось вот провести еще раз проверку антивируса (конкретно Avira 8.2.0.)…
Теперь при распаковке архива, Авирой были «убиты» файлы:
01 - TR/Drop.Agent.6144
1 - TR/UserStartup.loi
2 - TR/UserStartup.kij
4 - TR/UserStartup.lok
4a - TR/UserGet.B
4b - TR/UserGet.H
4v - TR/UserGet.A
6 - TR/Agent.6144.30
7 - TR/UserGet.D
7a - TR/UserGet.C
8 - TR/UserGet.G
9 - TR/UserGet.F
10 - TR/FwBypass.A.131
11 - TR/Regdis.5632.1
12 - TR/DisableTask.5632
13 - TR/UserGet.E
16 - TR/Hijacker.Gen
17 – TR/Denis.A
Вкратце вывод: после 9 дней, были обезврежены еще 13 угроз…сдвиги канечно порадовали, интересно было бы узнать, подтянулись ли другие участники ))
P.S. Ну и test 8 и 18 вреда не причиняют, так что конкретно Avira с ними справилась….

[Зайцев Олег]

Вкратце вывод: после 9 дней, были обезврежены еще 13 угроз…сдвиги канечно порадовали, интересно было бы узнать, подтянулись ли другие участники ))
P.S. Ну и test 8 и 18 вреда не причиняют, так что конкретно Avira с ними справилась….

Ничего на самом деле не изменилось - суть в тесте PDM, а тут имеет место просто лобовой детект по сигнатурам ...

[hitman_007]

Ну специалистам конечно видней, но рядовым пользователям и этого хватит, что бы запретить доступ (удалить)...Все же пускай будут сигнатуры, не повредит дак точно!

[Зайцев Олег]

Ну специалистам конечно видней, но рядовым пользователям и этого хватит, что бы запретить доступ (удалить)...Все же пускай будут сигнатуры, не повредит дак точно!

Как раз наоборот Эти тестовые семплы не опасны и ничего такого не делают, детектить их все сигнатурно - странное решение (причем защищенность ПК от этого совершенно никак не повысится)

[priv8v]

детектить их все сигнатурно - странное решение

"не мытьем, так катаньем"
ладно, что еще хоть не троянами-даунлоадерами обозвали...

[ak_]

Каюсь, это я "сдал" тестовые файлы в вирлаб Авиры. Любопытно было посмотреть на результат. Вот их вердикт:

File ID Filename Size (Byte) Result
25282450 123.zip 42.63 KB OK


A listing of files contained inside archives alongside their results can be found below:File ID Filename Size (Byte) Result
25282451 test17.exe 6 KB MALWARE
25282452 test18.exe 6 KB CLEAN
25282453 test01.exe 6 KB MALWARE
25282454 test1.exe 6 KB MALWARE
25282455 test2.exe 6 KB MALWARE
25282456 test3.exe 5.5 KB MALWARE
25282457 test4.exe 6 KB MALWARE
25282458 test4a.exe 6 KB MALWARE
25282459 test4b.exe 6 KB MALWARE
25282460 test4v.exe 6 KB MALWARE
25282461 test5.exe 5.5 KB MALWARE
25282462 test7.exe 5.5 KB MALWARE
25282463 test7a.exe 5.5 KB MALWARE
25282464 test8.exe 5.5 KB MALWARE
25282465 test9.exe 5.5 KB MALWARE
25282466 test13.exe 5.5 KB MALWARE
25282467 test14.exe 6.5 KB MALWARE
25282468 test15.exe 5.5 KB MALWARE

Ответ получен 10.03.09 в 10:35. Несколько файлов уже детектились до этого.
В связи с этим хотелось бы проверить эвристику Авиры: можно изменить тестовые файлы так, чтобы они выполняли те-же действия и посмотреть, как на них будет реагировать Avira. Может, благодаря этим сигнатурам будут ловиться зловреды, использующие подобные методы работы.
Кстати, новый билд Аутпоста показывает заметно лучшие результаты, чем предыдущий (тестировал оба с максимальными настройками).

[priv8v]

В связи с этим хотелось бы проверить эвристику Авиры: можно изменить тестовые файлы так, чтобы они выполняли те-же действия и посмотреть, как на них будет реагировать Avira.

В принципе, можно - но это нужно долго и упорно переписывать каждый файл - смотреть не детектит ли его Авира и браться за следующий, в противном случае переписывать еще раз. Проще сделать по-другому: упаковать по очереди все файлы каким-нибудь хитрым протектором, например, какой-нибудь новенькой версией Themida или другого... - т.е смотреть на поведенческий блокиратор - если он там есть, конечно...

Может, благодаря этим сигнатурам будут ловиться зловреды, использующие подобные методы работы.

благодаря ЭТИМ сигнатурам - точно не будут ловиться другие лучше - т.к эти действия избиты и все их используют - поэтому добавление в БД ЭТИХ сигнатур - капля в море и роли не сыграет никакой.

Кстати, новый билд Аутпоста показывает заметно лучшие результаты, чем предыдущий (тестировал оба с максимальными настройками).

какая версия?..
с какой сравнивали? уже вышла новая версия OSS?

[ak_]

Имел в виду Outpost Firewall Pro 2009 Версия: 6.5.3 (2518.381.0686), дата релиза: 4 марта 2009.
По поводу безопасномсти этих тестов: например трюк с переводом системной даты я не считаю таким уж безобидным, хотя на работе Авиры и Аутпоста он не сказывается критически - эти продукты с просроченой лицензией продолжают полноценно работать, просто не могут обновлять базы.

В принципе, можно - но это нужно долго и упорно переписывать каждый файл - смотреть не детектит ли его Авира и браться за следующий, в противном случае переписывать еще раз. Проще сделать по-другому: упаковать по очереди все файлы каким-нибудь хитрым протектором, например, какой-нибудь новенькой версией Themida или другого... - т.е смотреть на поведенческий блокиратор - если он там есть, конечно...

Можно и так, хотя мне в данном случае интересно было бы посмотреть именно на работу эвристики, поскольку поведенческого блокиратора (в том виде, что есть у ЛК) у Авиры нет, их модуль HIPS пока даже не вышел на стадию бета-тестирования.

[priv8v]

По поводу безопасномсти этих тестов: например трюк с переводом системной даты я не считаю таким уж безобидным

про то, что нужно все тесты проводить на вирт машине я написал везде где только можно - разве что у себя на плече такую татуировку не сделал

А вот предыдущая версия аутпоста отрубалась и не работала от перевода даты - вообще не работала.
http://virusinfo.info/showpost.php?p=364272&postcount=8

Если не сложно, то опубликуйте результаты тестирования новой версии аутпоста - сравним с предыдущей

[ak_]

Система Windows XP SP3, файловая система FAT32, cхема защиты: Avira AntiVir Premium 8 + Outpost Firewall Pro 2009 Версия: 6.5.3 (2518.381.0686) c максимальными настройками (настройки по-умолчанию мне не интересны). Тест проводился под ShadowUser Pro c cохранением изменений после перезагрузки. Авира отключена для исключения влияния сигнатурного детекта. Фактически это тест проактивной защиты файрволла.
Провалены тесты:
Test3 - никакой реакции, авторан и pdmtestfile.exe благополучно появились на диске С и сохранились после перезагрузки. (Толку от этого, правда никакого, поскольку у меня отключен автозапуск с HDD, CD и сменных носителей.)
Test4 и 4а - никакой реакции, но после перезагрузки изменения не сохраняются.
Test8 - никакой реакции, дата меняется на 2021 год.
Test9 - никакой реакции. Окна скрываются.
Test10 - никакой реакции.
Test13 - никакой реакции, но файл не скрыт и легко находится в папке System32 стандартным поиском.
Test16 - Error. Видимо, пройден.
Test17 - никакой реакции.
Test18 - пройден. Аутпост показывает попытку запуска cmd.exe. Даже если разрешить, то содержимое папки не уничтожется (указывал папку Avira) и после перезагрузки антивирус работает в штатном режиме.
Добавлено:
Остальные тесты успешно пройдены.

[priv8v]

Test13 - никакой реакции, но файл не скрыт и легко находится в папке System32 стандартным поиском.

какой именно файл? (имя)

то содержимое папки не уничтожется

и не должно. отнимаются просто права.

[ak_]

Файл testpdm.exe был обнаружен поиском в папке System32 после проведения всех тестов, возможно, это не результат теста13.
Провёл отдельно test13 - никакой реакици. AVZ не может найти testpdm.exe в папке WINDOWS, HijackThis: Open the Misc Tool section - Open ADS Spy... - функция не работает с FAT32.
Может этот тест работает только на NTFS?

[priv8v]

Может этот тест работает только на NTFS?

да. я просто прохлопал ушами то, что у Вас фат32. альтернативные потоки только в нтфс, поэтому нужно быть аккуратным при копировании данных на флехи - если что-то намеренно положено в стримы может потеряться.

[Arhimed]

Было бы интересно сравнить тесты 3-й и 4-й версий Eset-овских продуктов.

[priv8v]

Было бы интересно сравнить тесты 3-й и 4-й версий Eset-овских продуктов.

на дефолтных настройках различия небольшие - уже тестили бегло, а медленно и со всеми проверками, и оформлением не делали пока - это слишком долго и нудно. Но раз есть интересующиеся - будет время - выложу.

[Wiedemann]

4 Есет убил Тест1, 2, 6, 11, 12. Остальные выполняются. Мда, дыра ещё та...

[priv8v]

Не планирую вставлять в пак вышеприведенных лик-тестов, но это также лик-тест и имеет полное право появиться в этой теме.

Stupid keylogger leak-test

Одним из направлений поведенческих блокираторов и различных систем HIPS является обнаружение и обезвреживание зловредов семейства "монитор" - приложений, следящих за действиями пользователя. Типовым примером может служить обычный кейлоггер. Кейлоггеров много и различаются они как по техническим характеристикам (способами слежения, функциям), так и по назначению (следить за пользователями на собственном ПК или использовать массово как троян).

В описании практически каждого антивирусного комплекса есть слова о том, что продукт защищает от кейлоггеров. Для проверки слов и существуют лик-тесты и реальные запуски ITW-образцов.
В вышеприведенном паке лик-тестов есть 2 аналогичных кейлоггера, но они не могут наглядно отобразить наличие угрозы перехвата данных. Поэтому было решено переработать кейлоггер для того, что бы его поведение было наиболее похожим на поведение реального кейлоггера в системе и для того, что бы пользователю, тестирующему антивирусный продукт были видны все результаты работы кейлоггера.


Поэтому в кейлоггер были включены следующие функции и возможности:
* Слежение за набираемыми на клавиатуре данными и их логирование
* Слежение за текстом в буфере обмена и его логирование при его изменении
* Логирование того в каком окне набирается текст
* Создание удобочитаемого html лога
* Работает без инсталляции в систему

Т.к это лик-тест на него распространяются некоторые ограничения, которые и отличают лик-тест от реального трояна, но эти ограничения не влияют на детектирование его подозрительной деятельности в системе, т.к не имеют к ним никакого отношения:
* Логируются только английские буквы (текст набранный на русском языке и цифры записываться в лог просто не будут)


Работа с кейлоггером:
* Лог создается в текущей директории: файл stupid_keylog_log.htm
* Содержимое буфера обмена находится в строке серого цвета
* Заголовок окна в строке зеленого цвета
* Считанные данные между зелеными строками черным шрифтом
* Что бы завершить работу кейлоггера следует активировать Num Lock и нажать на клавишу 0 (на клавишу ноль не в ряду цифр, а на блоке цифр на клавиатуре справа) или просто завершить работу кейлоггера через Диспетчер задач


Кейлоггер является простым в плане того, что используемые им приемы и функции очень распространены в реальных образцах, хорошо документированы и просты в реализации.


Разная информация:
* Размер 8 Кб
* Портабельно - запускать можно с флешки
* Написан на С++
* Ничем не упакован
* Создан для удобства тестирования детекта кейлоггеров антивирусными продуктами - мало весит, прост в использовании, нагляден, не требует инсталляции, гарантированно не имеет "левых" функций, максимально приближен к реальным образцам malware, использует одну из самых распространенных технологий слежения за клавиатурой


Скачать:
slil.ru/27366634

[ak_]

Аутпост Про при запуске выдаёт предупреждение: