Тестирование проактивных защит. PDM tests.

**priv8v** · 04.04.2009, 00:32

Все верно - так и должно было быть. Он с кейлоггерами знаком.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**herzn** · 04.04.2009, 00:38

del

**herzn** · 04.04.2009, 11:22

Копируя, ошибся вкладкой.

Сорри.

**Black_N** · 05.04.2009, 11:54

Stupid keylogger leak-test
На компьютере Symantec Endpoint Protection 11.0.4014 MR4 MP1 + Norton AntiBot v.1.1.838 (технология SONAR, в SEPe пока еще нет, обещают внедрить, начиная с 12-ой версии, поэтому они друг друга дополняют)

...
По тесту SEP промолчал (журнал на момент тестирования чист), Norton AntiBot заметил неладное, скрин:

**MedvedD** · 05.04.2009, 17:20

KIS 2009 8.0.0.506 (a.b)
Авторежим. Ничего не сказал, лог пишется. Я огорчён

Индекс опасности - 4 (малоопасно)

**priv8v** · 05.04.2009, 17:36

думаю, что это скорее продуманная политика компании, чем недоработка в выставлении индекса опасности в эмуляторе - т.к с кейлоггерами каспер точно знаком - причем очень хорошо.
это можно объяснить тем, что приложение не умеет работать с инетом - поэтому каспер его посчитал админской тулзой. хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.

Кстати, вот на сегодняшний день результаты его проверки на вирустотале:
http://www.virustotal.com/ru/analisi...e98811230c90de
Детектит эвристиком только McAfee

Удивительно - даже хелло_ворлд детектят больше антивирусов)))

**OSSP2008** · 05.04.2009, 17:49

KIS 2009 8.0.0.506 (a.b)
Авторежим

хотя все равно непонятно почему не выдал никакого предупреждения - о таком ведь принято предупреждать.

При отключеном автопилоте сообщения есть?

**OSSP2008** · 05.04.2009, 18:03

Вот KIS в интерактивном режиме

**MedvedD** · 05.04.2009, 18:11

Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.

**priv8v** · 05.04.2009, 21:02

При отключеном автопилоте сообщения есть?

не знаю. у меня КИСа нет.

Нет, в авторежиме никаких сообщений не выдал. Просто запустил и начал писать лог.

а при установке КИСа какой режим по умолчанию? интерактивный/авто или еще какой-нибудь?

**MedvedD** · 05.04.2009, 21:09

Нет, автоматический.

**Helgin** · 05.04.2009, 23:45

KIS 8,0,0,506
У меня на тестовой машине логи не создал, кейлоггер обнаружился, но по умолчанию стоит галочка - не удалять подозрительные объекты, поэтому заполнил лог такими данными:

05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Обнаружено: Keylogger
05.04.2009 23:04:52 Клавиатурный перехват C:\DOCUMENTS AND SETTINGS\DEVELOPER\Мои документы\Загрузки\STUPID_KEYLOG.EXE Не завершен: Keylogger

**senyak** · 19.04.2009, 23:22

Кто может протестировать нам NIS 2009, кому не сложно. А то говорят, что он покруче Каспера и HIPS ему не нужен

**priv8v** · 19.04.2009, 23:32

стоит оговориться о методологии этих лик-тестов:
они годятся для тестирования эмуляторов (кис2009) - там он в чистом виде, или для тестирования поведенческих блокираторов в чистом виде: это кис 7, OSSS, Агнитум тоже, думаю, можно сюда всунуть...
А прогонять эти тесты на чем-то где и нет по заявлениями поведенческих блокираторов - бессмысленно. Какой, к примеру, толк на др.вебе тестировать эти лик-тесты?... Да никакого. Сами по себе они никакой опасности не несут - др.веб их и не детектит. А про опасные действия - это уже у них другая политика...
А если говорить про SONAR в NIS, то я на АМ (анти-малваре.ру) так и не добился ответа на вопрос занимается ли он анализом активности и на какие действия смотрит - как только мне эту информацию сообщат, то я сразу открою редактор и начну кодить или компилить уже сделанное... а пока тестить рано - не ясно какие у них технологии и против чего они направлены. Поэтому сейчас просто брать этот пак тестов и гонять по ним НИС - не нужно.

**senyak** · 20.04.2009, 00:38

Все понял, спасибо. Слов много, а увидеть в деле хочется

**priv8v** · 20.04.2009, 00:52

мне тоже хочется увидеть СОНАР в деле. нужно только знать в каком, что бы создать это самое дело...

**Vvvyg** · 04.06.2009, 13:08

Прогнал тест на Comodo Internet Security (бесплатный) с проактивкой в параноидальном режиме. Пропустил только Keylogger1 и 9-й тест (скрытие окон). Я считаю, вполне достойный вариант.