Лидеры форума

Кхм, тогда вам всем лучше не знать, что вытворяет анти-руткит в ядре

Не могу, потом окажется, что дрвеп это сделал 10 лет тому назад, а мы украли. Извините...

Будь уверен, что через некоторое время то же появится и в антивирусе Д, но под видом инновации. UPD: Из описания Dr.Web 8 beta

Примечательно обсуждение у Доктора на форуме. Отбрасываем все теории заговоров и проституции и оставляем лишь мысли чистого разума. Так вот там реально считают, что если винлок сработал и заблокировал рабочий стол, то антивирус уже не поможет, т.к. нет доступа к его интерфейсу. То есть никому в голову даже не пришло, что есть некий антивирус К, который принудительно стартует проверку критичных областей в поисках активной заразы. Без запроса у пользователя. Ведь это так просто.

Ой, я Вас умоляю)) Не доверяйте Вы так всем на kernelmode.info))) нет никакого sst.c, который инфектит vbr. Там приложили vbr самого буткита. Привиденное семейство в тесте на АМ, кстати, есть - PRAGMA/SST. И именно в случае, как в тесте, с созданием еще одного раздела (если таблица разделов в mbr не заполнена), он делает его активным. Загрузчик в mbr (стандартный) передает управление как раз на Vbr буткита, его новго раздела. Вот его там и выложили. То, что мы его не детектитм (vbr) вовсе не означает, что не лечим. Мы прекрасно лечим его) В том числе и в случае, если он заразит загрузчик в Mbr.

ммм...что за семейство? Что значит "возможно"? Конечно есть. В контексте данного тестирования не имеет смысл получать хеши - достаточно взять любой семпл этого семейства. Поскольку все семейства были/есть распространенные,то они есть у любого вендора. Описание есть в доке с именами, наиболее ходовыми. Более того, люди, которые занимаются именно сложными угрозами (имею ввиду независимые эксперты, вирусные аналитики и т.п.) - они в курсе всех этих семейств. Поэтому, чтобы проверить корректность результатов у АМ даже не нужно семплы просить. В этом прелесть данного теста от многих дургихи даже подобных.

Просто там я говорил то, что думаю, ибо намёки там не понимают. Нужно всё писать тупо, толсто и прямо. Тогда, правда, темы закрывают. Но тогда все понимают и то, что закрывают по причинам не тем, которые озвучиваются. Здесь понимают, поэтому я не стал разжёвывать свой юмор (который тоже не всегда идеален) Я на самом деле несколько не в своей тарелке себя чувствую, когда вроде бы правильный тест, всё ок, но у кого-то 100%. Потом какой-нибудь securitylab.ru пишет заголовки типа "Anti-Malware.ru назвал лучшие антивирусные программы". И сразу забывается обо всех методологиях и пр. И виден результат 100%. Я не сталкиваюсь каждый день с сэмплами, хотя активные заражения изредка приходится лечить. И я не могу сказать, существуют ли сейчас сэмплы, которые подходят под методологию проведённого теста и с которыми продукты ЛК не справляются. Я думаю, что такие сэмплы объективно могут существовать. Почему нет? Хотя бы в формате классического APT, который использует какие-то новые алгоритмы, о которых мы узнаем через год и включим в новое тестирование. А может быть, таких сэмплов и нет. Но, как я и ожидал, воспринимаются эти 100%, как то, что тест затачивался под ЛК или ЛК затачивали под тест. У меня нет убедительных аргументов против этого. У Dr.Web и его сторонников, наоборот, насколько понимаю, нет контраргументов. Поэтому опускаются до риторики, что ЛК скупил весь мир. Но ситуация такая, что эти 100% снижают доверие ко вроде бы хорошему тесту. Сами по себе. А потом это тиражируется в СМИ, как относящееся к продуктам в целом, вместе с этими стами процентами. Поэтому я пошёл туда и спросил в лоб - есть сэмплы или нет. Беляш начал говорить про то, что я работаю в ЛК, и АМ работает на ЛК. Т.е. сэмпла нет. Ещё там кто-то сказал, что есть. Попросил скинуть в личку. Тоже не скинул. Думаю, что тоже нет. Получается, у Dr.Web нормальных контраргументов нет. Хотя у меня теплилась надежда, что хотя бы намекнут. Нет. Только пугали тем, что где-то как-то что-то... Т.е. по результатам обсуждения на их форуме получается, что фактически результаты признаются, и тест защищён. Хотя мне было бы интересно получить опровержение 100%-ов. И хотелось бы в будущем, чтобы в таких тестах никто не получал 100%, чтобы потом на этом нельзя было спекулировать 100%-ной защиты не существует. И эти 100% не должны фигурировать в том контексте, как это опубликовал SecurityLab. P.S. Возможно, даже искусственно ограничить максимальную планку не 100%-ами, а 90%, и их делить. И сказать, что 10% - это те механизмы, о которых мы не знаем пока. Так было бы честнее, наверное.