-
Комплексный сравнительный анализ антиSpyWare - подбор "кандидатов" и выбор методик
Ввиду того, что программ борьбы со SpyWare в последнее время расплодилось много, я предлагаю произвести сравнительное тестирование наиболее распространенных из них.
Предлагаемая методика тестов:
1. Инсталляция-деинсталляция.
Цель теста - исследовать корректность установки программы, изучить, не "хулиганит" ли ее инсталлятор в системе и насколько чисто проходит деинсталляция.
Задача - оценить, насколько безопасна для системы установка программы
2. Анализ вмешательства в работу системы.
Цель теста - изучить, какие функции системы перехватываются (и перехватываются ли вообще - это в принципе актуально для монитора).
Задача - оценить возможность конфликтов с другим антивирусным ПО
3. Проверка на False Alarms (ложные срабатывания).
Цель теста - изучить, дает ли программа ложные срабатывания на заведомо чистых системах. Если дает, то соответственно количество и степень тяжести. База чистых объектов и системных файлов у меня весьма внушительная, так что проблем не будет. Подозрения эвристика ложными срабатываниями предлагаю не считать (т.е. False Alarm считаем однозначную классификацию системного объекта в качестве "зверя")
Задача - оценить количество и степень тяжести ложных срабатываний
4. Проверка эффективности проверки и лечения системы от стандартных "зверей".
Цель теста - заражение специально выделенного ПК ITW разнообразных SpyWare, AdWare, TrojanDownloader, Dialer в достаточно большом количестве и оценка эффективности борьбы с ними. Для оценки предполагается провести поиск и лечение в максимально возможном режиме
Задача - оценить качественно и количественно эффективность работы программы
5. Проверка эффективности эвристики и методик обнаружения маскирующихся "зверей"
Цель теста - заражение специально выделенного ПК ITW образцами AdWare с Rootkit- механизмом, встроенным кейлоггером, труднолечимых программ типа Look2Me
Задача - оценить качественно и количественно эффективность работы программы по данным разновидностям
6. Проверка монитора (если таковой есть)
Цель теста - оценка качества работы монитора программы, если таковой имеется. Методика - обход "злачных" мест в Инет (естественно, порядок обхода и набор сайтов будет одинаков для всех подопытных), и оценка количества остановленных/не остановленных монитором "зверей".
7. Общий анализ методик программы
Цель теста - попытка оценить методику проверки системы, метод поиска "зверей" (имена, сигнатуры, контрольные суммы файлов и т.п.),
Задача - оценить вероятность ложного срабатывания
------------
Для проведения тестов необходимо определиться со списком программ, которые должны быть подвержены тестированию и методикой. Предлагаемая методика изложена выше, но, возможно я что-то упустил .... - короче говоря, нужно обсудить.
Тест я предполагаю сделать максимально объективным и повторяемым (т.е., как видно на некоторых моих тестах - берем X, кладем туда-то - получаем результат такой-то - т.е. если кто-то не верит (что нормально - я тоже скептически подхожу к анализу любой системы), то можно самостоятельно легко повторить некий тест и подтвердить/опровергнуть результат.
-------
Текущий список:
1.Ad-Aware SE (http://www.lavasoft.ru/, 2.5 мб, free)
2.Spybot-S&D (http://www.safer-networking.org/en/download/, 4.15 мб, free)
3.Spy Sweeper (http://www.webroot.com/products/spysweeper-indepth/, v3.5, 3.8 мб, 30$)
4.a2 (http://www.emsisoft.com/en/, http://download1.emsisoft.com/a2personalsetup.exe, v1.6, 2 мб)
5.Microsoft AntiSpyware (http://www.microsoft.com/athome/security/spyware/software/default.mspx, 6.5 мб)
6.CounterSpy (http://www.sunbelt-software.com/) 13 МБ, v 1.0.29, 20$
7.SpySubtract от Trend Micro (http://www.intermute.com/products/spysubtract.html) 30$, v3.0 Pro, 2.1 МБ
8.XoftSpy (http://www.paretologic.com/xoftspy/lp/14/, 1.5 мб, )
9.SpywareBlaster (http://www.javacoolsoftware.com/sbdownload.html., v3.4, 2.5 мб)
10.WinPatrol (http://www.winpatrol.com/news.html, v9.1, 1 мб)
11.Ewido security suite (http://www.ewido.net/ , 2.4 мб)
12.McAfee AntiSpyware (http://us.mcafee.com/root/package.as...d=206&cid=9904) 6.86 Мб, 29.99$
13.CA PestPatrol Anti-Spyware (http://store.ca.com/) 40$, 12 МБ Corporate-версия,
14.ZoneAlarm Spyware Detector (https://www.zonelabs.com/) ?! только OnLine сканер
15.Spyware Doctor (https://www.pctools.com/spyware-doctor/) 3.42 МБ
Последний раз редактировалось Зайцев Олег; 26.05.2005 в 12:29.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Предлагаемый список программ:
Ad-Aware SE
Spybot-S&D
Spy Sweeper
a2
Microsoft AntiSpyware
-
-
Ну вот, пять кандидатов уже есть ... плюс еще CounterSpy и SpySubtract от Trend Micro - они в сущности уже тестировались, но для объективности нужно их добавить ...
-
-
http://www.paretologic.com/xoftspy/lp/14/
его тоже следует , люди его хвалят- однако я этой компании не доверяю , так как было много в своё время ложных срабатываний .
-
-
А я бы ещё назвал AVZ......
-
-
Сообщение от
rav
А я бы ещё назвал AVZ......
AVZ если и пойдет, то вне конкурса. Причина в том, что если я буду вести его тестирование, то имхо это не совсем некорректно/этично и наведет тень на объективность теста... Но есть и объективная причина - AVZ обучается по данным моей автоматической системы поиска ITW "зверей" в инет и по моей коллекции - он "знает" 100% из коллекции и то, что отлавливается по моим методикам....
-
-
Предлагаю добавить к списку SpywareBlaster версии 3.4, а также неплохую утилиту для защиты оси - WinPatrol 9.1- http://www.winpatrol.com/news.html (использую ее года 2 никаких нареканий и глюков не было).
-
-
Может в список и эти добавить?-
Ewido security suite
McAfee AntiSpyware
PestPatrol Anti-Spyware
ZoneAlarm Spyware Detector
Spyware Doctor
-
-
ОК, я списочек сформировал в хвосте первого поста.
Осталось только изыскать URL на все указанные продукты - я потихоньку начал заполнять списочек ....
-
-
Вот URL-ки к первым пяти:
1.Ad-Aware SE (http://www.lavasoft.ru/)
2.Spybot-S&D (http://www.safer-networking.org/en/download/) - скоро должна выйти версия 1.4
3.Spy Sweeper (http://www.webroot.com/products/spysweeper-indepth/)
4.a2 (http://www.emsisoft.com/en/)
5.Microsoft AntiSpyware (http://www.microsoft.com/athome/secu...e/default.mspx)
Нужно еще упомянуть, что участникам предоставлены равные условия - тестироваться должна самая свежая версия с последним обновлением баз.
-
-
Сообщение от
SDA
Предлагаю добавить к списку SpywareBlaster версии 3.4, .
она же только ввиде прививки работает . добавляет в реестр плохие сайты и актив-х , куки и всё . чистить она не не умеет .
-
-
Сообщение от
drongo
она же только ввиде прививки работает . добавляет в реестр плохие сайты и актив-х , куки и всё . чистить она не не умеет .
Значит, для нее будут прочерки в тестах 3,4,5,7 ... а в п.п. 6 проверим эффективность прививки.
to kps
Спасибо, я занес урлы в список
-
-
хочу напомнить , у а2 есть монитор - но нужно скачивать персонал версию и зарегиться на сайте . (30 дней бесплатно ) http://download1.emsisoft.com/a2personalsetup.exe
-
-
6. Проверка монитора (если таковой есть) Методика - обход "злачных" мест в Инет.
А как это будет реализовано? - обход сразу после установки на эталонную систему?
-
-
Сообщение от
HATTIFNATTOR
6. Проверка монитора (если таковой есть) Методика - обход "злачных" мест в Инет.
А как это будет реализовано? - обход сразу после установки на эталонную систему?
Ну, я пока точно не знаю, стоит подумать и обсудить. Я пока вижу примерно такую методику - ставим на эталонно чистую систему подопытного, а затем производим обход сайтов - и смотрим на его реакцию и на то, пролезет что или нет. Затем сносим все под нуль - ставим на чистую систему второго и так по новой.
Второй метод я пробую - можно эмулировать несколько вредоносных сайтов на своем веб сервере (я сейчас ак раз этим занимаюсь - страницы с скриптами - инсталляторами легко найти и чуть-чуть подправить). Тогда эксперимент будет эталонным на все 100% - все будет инсталлироваться с моего сервера, бедет 100% повторяемость.
Наконец метод 3 - запускаем по очереди отобранные TrojanDownloader (монитор должен остановить илиTrojanDownloader, и (или) то, что он затаскивает).
-
-
AnVir - http://anvir.com/index_ru.htm
на антивирус эта пародия явно не тянет, а за антиспайварь может и сойти.
-
-
Сообщение от
RiC
На антиспайвера эта штука тоже не тянет - я качнул ее для пробы, из 10000 образцов распозналось 40 ... (MyDoom, Sven, NetSky, Bagle). Из категорий AdWare и SpyWare - из 4000 образцов найдено 0. Это и не удивительно - несжатая база вирусных дефиниций у него - 4 кб. Т.е. это навороченный TaskManager с элементами детектирования "зверей"
-
-
Я предлагаю методику такую. Виртуальный комп. Ходим по всяким злачным местам, заражаем его. После этого делаем снапшот, и на этом снапшоте тестируем все программы. Так для всех будут одинаковые статовые условия.
-
-
Сообщение от
Geser
Я предлагаю методику такую. Виртуальный комп. Ходим по всяким злачным местам, заражаем его. После этого делаем снапшот, и на этом снапшоте тестируем все программы. Так для всех будут одинаковые статовые условия.
Имеено так и будет выполнен тест 3,4,5 - только вместо виртуального будет скорее всего обычный с системой восстановления данных на диске из снимка - так более реалистично. Проблема с монитором - ка проверить его работоспособность и эффективность ? По идее только хождением по злачным местам или путем поочередного запуска некоторого набора TrojanDownloader. Первый метод более правильный, т.к. позволить проверит фильтры, прививки и т.п., которые может понаставить монитор
-
-
Возник ряд моментов:
12.McAfee AntiSpyware - продукт есть, а триальной версии для теста - нет
13.CA PestPatrol Anti-Spyware (http://store.ca.com/) - не понятно, где его взять.
14.ZoneAlarm Spyware Detector (https://www.zonelabs.com/) - я нашел только его OnLine сканер
-