Показано с 1 по 12 из 12.

Сравнение возможностей детектирования упакованных вирусов в различных антивирусных пр

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Сравнение возможностей детектирования упакованных вирусов в различных антивирусных пр

    Большинство ведущих производителей антивирусов в описании своих продуктов заявляют о поддержке основных упаковщиков и архиваторов, таких как ZIP, RAR и так далее. Некоторые из них заявляют о поддержке огромного числа упаковщиков и архиваторов, например, Лаборатория Касперского утверждает о поддержке в общей сложности более 1200 различных версий.

    В связи с этим, интересно было бы проверить, как же реально обстоят дела с детектированием упакованных вирусов. Ведь ни для кого не секрет, что почти все вредоносные программы, так или иначе, упакованы. Часто один и тот же вирус упаковывается десятками разных упаковщиков (бывает даже несколькими одновременно), что позволяет ему проникать в корпоративные сети, несмотря на их защищенность антивирусом уже на уровне шлюза.

    Представим себе ситуацию, когда уже известный всем вирус упаковывается других упаковщиком. Если новый упаковщик не поддерживается вашим антивирусом, то он легко пройдет сквозь защиту и потребуется время, пока антивирусная компания добавит в базу данных новую сигнатуру, способную детектировать по-новому упакованный вирус. В случае поддержки упаковщика, антивирус его сразу же обнаружит, благодаря чему не потребуется дожидаться реакции антивирусной компании на новую угрозу и соответствующего обновления антивирусных баз.

    Подобные возможности антивируса, согласитесь, являются крайне необходимыми при современных темпах роста количества различных вирусов и их версий (одного только червя MyDooom было обнаружено несколько десятков версий). Чтобы проверить какой из антивирусов справляется с задачей детектирования упакованных вирусов, обратимся к результатам недавнего сравнительного теста, опубликованного специалистами IBM Virus CERT в октябре 2005 года.
    далее http://www.anti-malware.ru/index.pht...are&anid=packs

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    mihail
    Guest
    К примеру, антивирус Antivir.
    Берем из дистрибутива антивирусной утилиты Олега Зайцева файл avz.exe и проверяем - тишина, чист.
    Как известно, он сжат UPX-ом... А знает ли его Antivir?
    Распаковываем avz.exe и проверяем несжатый вариант - тревога!
    Эвристик заподозрил Trojan.Keylogger!
    Почему эвристик молчал на сжатом файле?
    Неужели не знает столь распространенный упаковщик?

  4. #3
    Geser
    Guest
    Kaspersky - 86%
    BitDefender - 67%
    Sophos - 57%
    Trend Micro и McAfee - 55%
    Dr.Web - 48%

    Более менее как и предпологалось. Те антивирусы которыми стоит пользоваться. Правда не понятно что с НОД. Вроде он должен детектить тоже. У них же вроде универсальный распаковщик. Может с настройками что-то не то

  5. #4
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    У нода - не универсальный распаковщик а универсалный материльник на все что нестандартно

    Кста я болтал с перцами из КАВа.. по поваду универсального распаковщика... в результату выяснилость такое - такой эмулятор - распаковшик есть но использоют они его только внутри компании т.к в реальных условиях он
    1. более тормозной
    2. на самом деле никакой не универсальный т.к надо указывать гле находится оригинальный Ентри-Поинт иначе эмулировать бесконечно будет.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  6. #5
    Full Member Репутация
    Регистрация
    04.10.2005
    Сообщений
    153
    Вес репутации
    46
    Цитата Сообщение от Sanja
    У нода - не универсальный распаковщик а универсалный материльник на все что нестандартно
    Кста я болтал с перцами из КАВа.. по поваду универсального распаковщика... в результату выяснилость такое - такой эмулятор - распаковшик есть но использоют они его только внутри компании т.к в реальных условиях он
    1. более тормозной
    2. на самом деле никакой не универсальный т.к надо указывать гле находится оригинальный Ентри-Поинт иначе эмулировать бесконечно будет.
    Нод не пользую, но для домохозяина он показывает неплохие результаты. Так что с точки зрения маркетинга, его "универсальный" распаковщик весьма неплох.

  7. #6
    umask
    Guest
    >yoda’s Crypter
    >yoda’s Protector

    Ну-да... поддержка пакера... насмешили :-))

    Известно всем здесь присутствующим, что касперски не поддерживает пакер и криптор, а детектирует по сигнатуре на пакер\криптор.

  8. #7
    umask
    Guest
    Про on-access scanners.
    RAR SFX и ZIP SFX, кстати, детектируются процедурами проверки файла по контенту как архивы и не распаковываются, как правило. Так что то, что внутри, вполне будет детектироваться.

    Другое дело, если бинарник такой заразить.

    Опять же вопрос об адекватности тестирования... к сожалению делитантов много :-(

  9. #8
    Geser
    Guest
    Цитата Сообщение от umask
    >yoda’s Crypter
    >yoda’s Protector
    Ну-да... поддержка пакера... насмешили :-))
    Известно всем здесь присутствующим, что касперски не поддерживает пакер и криптор, а детектирует по сигнатуре на пакер\криптор.
    Насколько мне известно не совсем так. В основном поддержвается, и для огромного числа пакеров/криптеров есть распаковка, в том числе для некоторых версий yoda. ХОтя для некоторых действительно детектится сам криптер. НУ это лучше чем ничего.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.05.2005
    Сообщений
    89
    Вес репутации
    107
    Не верю!(с)
    Лично проверял NOD32.
    AsPack, FSG, UPX (не всегда), Yoda Crypter v1.2 - знает 100%
    Некоторые другие крипторы распаковывает (не спрашивайте как ) использую эвристику.

  11. #10
    umask
    Guest
    Цитата Сообщение от kvit
    Не верю!(с)
    Лично проверял NOD32.
    AsPack, FSG, UPX (не всегда), Yoda Crypter v1.2 - знает 100%
    Некоторые другие крипторы распаковывает (не спрашивайте как ) использую эвристику.
    Так в тесте версии какие?
    И когда тест проводился видели?

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.05.2005
    Сообщений
    89
    Вес репутации
    107
    я NOD тестировал в тоже самое время (даже раньше)! Плюс продолжаю постоянно за ним приглядывать. Если бы мне выслали образцы, мог бы протестировать на engine 2004 и 2005 года отдельно.

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от SDA
    обратимся к результатам недавнего сравнительного теста, опубликованного специалистами IBM Virus CERT в октябре 2005 года.
    далее http://www.anti-malware.ru/index.pht...are&anid=packs
    Сам тест проводился в июне 2005 года, в сравнении участвовал Dr.Web 4.32b. Так что немного неактуально. 4.33 знает побольше пакеров.
    ---
    С уважением,
    Borka.

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 26.04.2012, 22:10
  2. Много различных вирусов, пропадает звук
    От taile в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 16.12.2010, 04:01
  3. Ответов: 5
    Последнее сообщение: 18.08.2010, 12:43
  4. Ответов: 9
    Последнее сообщение: 07.02.2010, 23:22

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00191 seconds with 16 queries