Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Результаты теста антивирусов на обнаружение современных полиморфных вирусов

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Результаты теста антивирусов на обнаружение современных полиморфных вирусов

    На портале www.anti-malware.ru 26.02.2008 г. были опубликованы результаты тестирования антивирусных продуктов на обнаружение полиморфных вирусов проведённый специалистами этого ресурса. Подробно http://antimalware.ru/index.phtml?pa...st=polymorphic

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.03.2008
    Адрес
    Ростов-на-Дону
    Сообщений
    39
    Вес репутации
    59
    Неглядя предположу, что везде попедила Avira
    Я угадал?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    398
    Аха. Она действительно хорошо ловит вирусы или это реклама?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Немцы жгут, никакой подставы
    Кстати странно что аваст лучше avg =)
    Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves

  6. #5
    Junior Member Репутация
    Регистрация
    20.03.2008
    Адрес
    Ростов-на-Дону
    Сообщений
    39
    Вес репутации
    59
    Незнаю. Но у них он всегда побеждает.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.12.2007
    Адрес
    Питер
    Сообщений
    170
    Вес репутации
    105
    авира - параноик. видит криптованный файл - и начинает ругаться
    (от этого, кстати много ложных срабатываний)
    ...хм...интересный тест, кстати
    forum.kasperskyclub.ru

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Я не мог просто прочитать и ничего не написать, так как не только коллекционирую полиморфные вирусы, но и одно время занимался их изучением.

    По формированию коллекции у меня особых нареканий нет (вот только семейство Allaple - это сетевые черви). Но вполне возможно, что и в нем присутствует элемент полиформизма (я просто с этим экземпляром не знаком). Для каждого семейства не плохо было указать уровень полиформизма (то на сколько изменяется код вируса). Максимальный, кажется, 5.

    По методике тестирования нареканий нет вообще. Тут сработано четко.

    Кроме этого качество обнаружения полиморфных вирусов, как наиболее сложных, может косвенно свидетельствовать об уровне профессионализма специалистов антивирусных лабораторий. Им необходимо не только тщательно проанализировать сложнейшие образцы вирусов, но и выработать надежные процедуры и методы по их 100% обнаружению.
    Это очень важный момент.
    При проверке находящихся на компьютере файлов классическим способом производится поиск соответствий определенной сигнатуре (вирусному следу). Если изменить код вируса, на который была сделана сигнатура, то обнаружить его данной сигнатурой уже будет невозможно. Подобные изменения полиморфный вирус делает в любой своей части.
    Еще один важный момент. Именно поэтому, очень важно определить уровень полиформизма.
    Цель данного теста - проверить качество работы специальных алгоритмов по обнаружению современных полиморфных вирусов.
    А вот здесь покритикую. Важно не только проверить качество алгоритмов по обнаружению, но и качество алгоритмов по лечению. Ведь это не троянцы, которых можно просто удалять и все. К моему большому сожалению и удивлению это сделано не было. На практике выясняется, что не все антивирусы могут качественно лечить не только полиморфные, но даже файловые вирусы.

    Результаты теста удивлений не вызывают. Очень интересно было бы увидеть результат на качество лечения. Это я высказал в качестве пожелания. Заодно и определить был ли тест предвзятым.

    P. S. За ссылку конечно спасибо SDA!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    На практике выясняется, что не все антивирусы могут качественно лечить не только полиморфные, но даже файловые вирусы.
    Не то что не все, а большинство. Расслабились, так сказать, вендоры. Главное запихнуть в базу, задетектить и удалить.

    Очень интересно было бы увидеть результат на качество лечения.
    Ага, так сразу и сделают. Тогда совсем другие результаты будут Так не интересно будет
    Left home for a few days and look what happens...

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Максимальный, кажется, 5.
    5 чего?
    З.Ы. Что касается этого теста - то он очень сложен. Много сложнее любого другого. И времени на проведение теста на лечение зараженных файлов просто не оказалось. Да и тогда тест окажется еще сложнее - будет необходимо проверять на работоспособность все пролеченные файлы, а их там очень много.

    Добавлено через 4 минуты

    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Ага, так сразу и сделают. Тогда совсем другие результаты будут Так не интересно будет
    Да, результаты будут совсем иные. Но не поэтому такой тест не провели
    Последний раз редактировалось vaber; 30.03.2008 в 23:54. Причина: Добавлено
    anti-malware.ru

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Цитата Сообщение от vaber Посмотреть сообщение
    5 чего?
    5 - максимальный уровень полиформизма.
    Цитата Сообщение от vaber Посмотреть сообщение
    З.Ы. Что касается этого теста - то он очень сложен.
    Соглашусь.
    Цитата Сообщение от vaber Посмотреть сообщение
    Много сложнее любого другого.
    И тут соглашусь.
    Цитата Сообщение от vaber Посмотреть сообщение
    И времени на проведение теста на лечение зараженных файлов просто не оказалось. Да и тогда тест окажется еще сложнее - будет необходимо проверять на работоспособность все пролеченные файлы, а их там очень много.
    Во-первых, по логу антивируса видно сколько он удалил. Было такое, что один антивирус удалял, а другой успешно лечил. Во-вторых, проверить можно часть файлов. Я проверял в среднем от 20 до 30 вылеченных файлов.
    Цитата Сообщение от vaber Посмотреть сообщение
    Да, результаты будут совсем иные. Но не поэтому такой тест не провели
    Мы с Вами знаем какими они будут.

    Добавлено через 8 минут

    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Не то что не все, а большинство. Расслабились, так сказать, вендоры. Главное запихнуть в базу, задетектить и удалить.
    Были случаи когда аналитики с первого раза не могли определить, что присланный файл заражен! У нас на форуме тут инфа проскакивала. Сейчас просто искать лень.
    Последний раз редактировалось Синауридзе Александр; 31.03.2008 в 00:27. Причина: Добавлено

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    5 - максимальный уровень полиформизма.
    Во-первых, по логу антивируса видно сколько он удалил. Было такое, что один антивирус удалял, а другой успешно лечил. Во-вторых, проверить можно часть файлов. Я проверял в среднем от 20 до 30 вылеченных файлов.
    5 чего? Не бананов же
    Так в таком тесте нас не интересует принципиальна возможность лечения/нелечения - было бы важно определить, насколько антивирус А качественнее лечит, чем Б. То есть один лечит 99,9% а другой 95,1% зараженных файлов на выборке в десятки тысяч файлов. 20-30 тут ничего не покажешь.
    anti-malware.ru

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от vaber Посмотреть сообщение
    5 чего? Не бананов же
    А какая разница? Баллов по шкале Рихтера, пунктов NASDAQ, попугаев, в конце концов...

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Угу, так бы и записали в методике теста: полиморфные вирусы выбирались в соответствии с попугаями - а именно, имеющие 4 и 5 попугаев )))
    anti-malware.ru

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Цитата Сообщение от vaber Посмотреть сообщение
    5 чего? Не бананов же
    5 уровней! Изволите продолжить. Хорошо, давайте.

    Выделяют несколько уровней полиморфизма (мне известны 5), используемых в вирусе. Каждый из них по-разному реализует неодинаковый размер файлов, которые были им заражены.

    Уровень 1. Простые полиморфные вирусы. Они используют постоянные значения для своих расшифровщиков, поэтому легко определяются антивирусами.

    Уровень 2. Вирусы, имеющие одну или две постоянные инструкции, которые используются в расшифровщике. Могут определяться по сигнатуре, но имеют более сложное строение, чем представители уровня 1.

    Уровень 3. Вирусы, использующие в своем коде команды-мусор. Это помогает запутать собственный код.

    Уровень 4. Использование взаимозаменяемых инструкций с перемешиванием в коде, без дополнительного изменения алгоритма расшифровки. Это помогает запутать антивирус. При этом невозможно поймать такой вирус по стандартной маске. Антивирусу нужно выполнять перебор, после которого нужная сигнатура будет найдена.

    Уровень 5. Реализация всех вышеизложенных уровней с поддержкой различных алгоритмов в расшифровщике помогает достичь высокого уровня полиморфизма. Также, при этом может существовать несколько параллельных процессов расшифровки, когда один будет преобразовывать код другого или наоборот. Распознать такой вирус очень сложно. Для этого нужно произвести тщательный анализ кода самого расшифровщика. С лечением еще сложнее. Тут нужно трассировать не только сам генератор, но и тело самого вируса.

    Цитата Сообщение от vaber Посмотреть сообщение
    Так в таком тесте нас не интересует принципиальна возможность лечения/нелечения - было бы важно определить, насколько антивирус А качественнее лечит, чем Б. То есть один лечит 99,9% а другой 95,1% зараженных файлов на выборке в десятки тысяч файлов.
    Вы сами себе противоречите?
    Цитата Сообщение от vaber Посмотреть сообщение
    20-30 тут ничего не покажешь.
    Ну, хоть так.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    5 уровней! Изволите продолжить.
    Вот теперь понятно,ч то за уровни полиморфизма Вы имели ввиду. Понятное дело, что в тесте должны быть сложные полиморфы и при этому свежие - например до годовой давности. Что и было сделано
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Вы сами себе противоречите?
    Где?
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Ну, хоть так.
    Если следующий тест будет - то будет и лечение
    anti-malware.ru

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Цитата Сообщение от vaber Посмотреть сообщение
    Понятное дело, что в тесте должны быть сложные полиморфы и при этому свежие - например до годовой давности. Что и было сделано
    А тут все было сделано четко.
    Цитата Сообщение от vaber Посмотреть сообщение
    Где?
    Здесь:
    Цитата Сообщение от vaber Посмотреть сообщение
    Так в таком тесте нас не интересует принципиальна возможность лечения/нелечения - было бы важно определить, насколько антивирус А качественнее лечит, чем Б. То есть один лечит 99,9% а другой 95,1% зараженных файлов на выборке в десятки тысяч файлов.
    Цитата Сообщение от vaber Посмотреть сообщение
    Если следующий тест будет - то будет и лечение
    А он должен быть. Иначе смысл первого вообще пропадает.

    P. S. Я проводил свой тест не на старой коллекции по методике аналогичной Вашей. Тестировались KAV, Symantec, Dr.Web, NOD32 и VBA32 (других в наличии у меня не было). Скажу по-секрету, мой любимый NOD32 облажался по полной программе, но показал не самый худший результат.

  18. #17
    Junior Member Репутация
    Регистрация
    20.03.2008
    Адрес
    Ростов-на-Дону
    Сообщений
    39
    Вес репутации
    59
    Было бы гораздо интересней узнать, кто показал лучшее результаты...

  19. #18
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Groft
    Регистрация
    26.11.2007
    Сообщений
    510
    Вес репутации
    676
    Александр, не поведаете нам результаты своего теста?

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    \
    Здесь:
    Я имел ввиду, что важно не просто знать лечит или не лечит - а важно знать насколько качественно он это делает.
    anti-malware.ru

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Ну что же, хорошо. По моим тестам, наилучшие результаты в плане лечения показал Dr.Web. VBA32 оказался на втором месте. Однако он существенно уступает Dr.Web. Про остальных промолчу.

    Добавлено через 3 минуты

    Цитата Сообщение от vaber Посмотреть сообщение
    Я имел ввиду, что важно не просто знать лечит или не лечит - а важно знать насколько качественно он это делает.
    И это очень важный момент.
    Последний раз редактировалось Синауридзе Александр; 31.03.2008 в 02:29. Причина: Добавлено

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 26.05.2011, 14:52
  2. Ответов: 0
    Последнее сообщение: 26.05.2011, 14:50
  3. Результаты теста антивирусов на быстродействие (февраль 2010)
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 4
    Последнее сообщение: 01.02.2010, 10:49
  4. Ответов: 93
    Последнее сообщение: 10.09.2008, 11:12
  5. Ответов: 5
    Последнее сообщение: 19.01.2008, 18:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00286 seconds with 19 queries