Перейти к содержанию
Сергей Ильин

Тест самозащиты антивирусов x64 (результаты)

Recommended Posts

Сергей Ильин
Взять КИС поставить его в ручной режим и результат будет уже другим, так как трудно будет попасть в KernelMode или использовать права LocalSystem итд.

А если ещё и рессурсы подкрутить и ещё пару галок кое где поставить ... то результат будет вообще третим.... smile.gif

Давайте конкретнее, какие настройки могут повлиять на самозащиту? Приведите примеры. Еще раз, мы не запускаем малвару, которая может как-то там определиться проактивкой. Файлы чистые и для антивируса неизвестные. Затачиваться под тулзы (заносить их в какие-то либо ограничения) нельзя, иначе это уже совсем другой тест. Да еще одна вещь, Тестовые утилиты действуют из под User Mode.

Ну так дайте возможность этим "домохозяйкам" получить информацию об их продукте. Что где "поковырять", если им так захочется.

Домохозяйки нигде ковыряться не хотят и не будут, поверьте мне :) У них есть дела поважнее. Есть даже целые сообщества типа FlyLady.ru. Люди думают как все успевать и оптимизировать свое время, а вы говорите настройки антивируса ковырять :) Как поставили, так и работает. Логика проста: они профи, знают как нужно. В этом как очень частая уловка вендоров. Они говорят, что наши продукты самые суперфункциональные, а на деле в настройках этот самый функционал отключен по разным причинам, в основном из-за желания уменьшить ресурсоемкость. А это уже прямая манипуляция. Вам продают делая на упор на какую-то фишку, а на самом деле вы ей не пользуетесь. Нужно ли нам этому подыгрывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Давайте конкретнее, какие настройки могут повлиять на самозащиту? Приведите примеры. Еще раз, мы не запускаем малвару, которая может как-то там определиться проактивкой. Файлы чистые и для антивируса неизвестные. Затачиваться под тулзы (заносить их в какие-то либо ограничения) нельзя, иначе это уже совсем другой тест. Да еще одна вещь, Тестовые утилиты действуют из под User Mode.

Я не имею ввиду этот тест. Я говорю про все способы атаки на самозащиту. И если КИС в авто режиме вырубить можно и не одним способом. То в ручном режиме будет работать контроль программ - который будет служить как отдельная защита компа и дополнительная самозащита продукта. То в таком режиме КИС много чего не позволит, а ещё и рессурсы подкрутить и ещё пару галок кое где поставить ... то вырубание КИСа через прогу будет невозможным.

Примеры:

1) Получить права LocalSystem в авто режиме - раз плюнуть. А в ручном режиме будет очень сложно, а с дополнительными рессурсами это

будет невозможно.

2) Попасть в KernelMode в авто режиме - не так сложно. А в ручном режиме будет сложно а с дополнительными рессурсами ( которые также закрывают/могут закрывать баги в продукте ) будет можно сказать невозможно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
2) Попасть в KernelMode в авто режиме - не так сложно. А в ручном режиме будет сложно а с дополнительными рессурсами

Я вижу рациональное зерно в утверждении, но как же быть с ответом "разрешить" в ручном режиме, и что конкретно менять в дополнительных ресурсах, что это, защита от winlock? Т.е. если сделать настройки antiwinlock, малварь не пролезет в автозагрузку, не сможет выбить ав в safe mode, типа этого?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

То, о чем тут говорится имеет прямое отношение, блин, к динамическому тесту АМ, а не к тесту самозащиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Голословно.

Чего голословно? Хук запихать или WriteProcessMemory/CreateRemoteThread? Половину этих тестов даже писать не надо, можно накопипастить из готовых проектов или даже из гугля.

Потому ему не нужно заниматься не своим делом. Как экспертам портала не стоит заниматься хирургией, например.

Может это решение "ему" предоставим?

Позволь обратить внимание, что эти утилиты убивали продукты, без всяких там соплей.

Я выше просил, не нужно меня "стращать" этими "страшными" утилитами. Информация, необходимая злоумышленнику, в тестах уже есть. Объясняю на пальцах. Если я 1) захочу прибить, скажем, Эмси, 2) Знаю, как это написать, то мне достаточно просто посмотреть итоговую табличку из теста и, а--га, Эмси, ACL на файлах и в реестре, оконные сообщения, модификация реестра... Остается спокойно это всё набросать, скачать пробник Эмси и через пару часиков у меня готовая "убивалка". А вот если предположить, что я 1) понятия не имею как это писать, 2) хочу защитить Эмси от этих неприятностей, то инфы для этого - нуль. Ни что где нажать, ни есть ли это "нажать" вообще в продукте. И что этот "я" должен делать в такой ситуации? Идти на форум и выслушивать про "домохозяек"? Ещё раз, кратенько, вся необходимая информация для нападения в тесте имеется, информация для защиты от такого нападения - отсутствует в принципе. Пойдёт такое объяснение?

Это тест на дефолтных настройках - согласно статистикам эти настройки не меняются в 90 и более процентах случаев. Вообще не меняются. И да, это не обзор продуктов, хотя обзоры также публикуются и ты можешь найти их здесь. Ну, могу дать ссылку на свой, например: http://www.anti-malware.ru/node/2149

Лидер теста живет на настройках по умолчанию пять секунд. Или сколько там понадобится, чтобы отправить систему в рестарт. После этого по нему можно справлять поминки. И что же, позволю себе поинтересоваться, произошло с этим тестом? Почему там всё на максимальных настройках? Может потому, что "некоторые" этот тест на дефолте пролетают со свистом? А что такое случилось с Матюшеком, что он тестирует продукты на максимуме, что даёт вполне адекватное представление о возможностях каждого продукта. А не о том, как их настроил изготовитель, исходя из каких угодно соображений, области использования, целевой аудитории, совместимости, юзабельности, даже рынка сбыта (тут вот, немного не в тему, недавно, выяснилось, что KPM использует RC4 по умолчанию. Обсудим все преимущества XOR-шифрования для "домохозяек"?) Надо уточнять, куда отправятся "некоторые" продукты со своего почетного шестого места при заводских настройках? Так почему же такая избирательность в разных тестах у одной команды тестировщиков?

В любом режиме работы KIS поднимается алерт на установку/запуск драйвера, если это делает не доверенное (т.е. слабоограниченное и ниже) приложение с не доверенным драйвером.

:lol: А я потому и сделал оговорку про ленивых. Ленивые будут долбиться в SCM, а неленивые полезут туда через другой процесс, через физпамять, через физдиск, через модификацию реестра, через... да что я, собственно, перечисляю, всё это есть в "тесте на пронкновение".

-----------------------------------

Затачиваться под тулзы (заносить их в какие-то либо ограничения) нельзя, иначе это уже совсем другой тест. Да еще одна вещь, Тестовые утилиты действуют из под User Mode.

То есть, выходит, я был прав в части комодо? Ведь он по умолчанию заносит всё неизвестное в ограничения, а "это уже совсем другой тест"...

И маленькая просьба, раз уж речь идёт про UM, можно попросить обходиться в статья без "нагоняющих трепет" префиксов "Zw". MS на этот счёт вполне четкие рекомендации, просто чтобы не сбивало с толку при прочтении.

Домохозяйки нигде ковыряться не хотят и не будут, поверьте мне :) У них есть дела поважнее. Есть даже целые сообщества типа FlyLady.ru.

Почему это я должен верить? И можно попросить поменьше этих "домохозяек" и этого снобизма? Я уже выше написал, что вижу, что результаты в части комодо, например, не совсем совпадают с практикой. Что я должен думать? Мне, и не только мне, известны некоторые хитрости по обходу минимальных настроек, но как я могу быть уверен, что здесь не используется что-то другое? Как я могу быть уверен, что это "другое" годится только для настроек по умолчанию? Что я должен делать в такой ситуации? Падать в ножки, и умолять что я не "домохозяйка"? Вот человек спрашивает:

Кстати, а можно попросить внештатно проверить (ради того же пресловутого спортивного интереса) воспроизводимость проблемных пунктов для Dr.Web на версии Dr.Web, находящейся в открытом бета-тестировании при включённой функции (см. скриншот)?

Он тоже "домохозяйка"? И что в ответ? "Можно будет проверить на досуге." Вот спасибо.

Люди думают как все успевать и оптимизировать свое время, а вы говорите настройки антивируса ковырять :) Как поставили, так и работает. Логика проста: они профи, знают как нужно.

Вы прямо-таки мои мысли читаете:

http://forum.kaspersky.com/index.php?showt...t&p=1543080

http://forum.kaspersky.com/index.php?showt...t&p=1564678

В этом как очень частая уловка вендоров. Они говорят, что наши продукты самые суперфункциональные, а на деле в настройках этот самый функционал отключен по разным причинам, в основном из-за желания уменьшить ресурсоемкость. А это уже прямая манипуляция. Вам продают делая на упор на какую-то фишку, а на самом деле вы ей не пользуетесь. Нужно ли нам этому подыгрывать?

А можно попросить, что называется, "нагнать конкретики"?

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Чего голословно? Хук запихать или WriteProcessMemory/CreateRemoteThread? Половину этих тестов даже писать не надо, можно накопипастить из готовых проектов или даже из гугля.

Ты уже смотрел утилиты, написанные Рабиновичем, чтобы убить продукты? И в них Илья, конечно, использовал этот метод? Везде.

Может это решение "ему" предоставим?

Пошли переброски глупостями.

Пойдёт такое объяснение?

Да. Это причина не выкладывать тулзы для всех, т.к. кому надо - знают методы, а плодить кидди, нафик надо?

Лидер теста живет на настройках по умолчанию пять секунд. Или сколько там понадобится, чтобы отправить систему в рестарт.

Ну и то, что дальше:

1. Слышать звон

2. Не по теме

3. Графомания

4. Полное игнорирование требований. Как на этапе их составления (публичного, обращу внимания), так и после выкатки результатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Я вижу рациональное зерно в утверждении, но как же быть с ответом "разрешить" в ручном режиме, и что конкретно менять в дополнительных ресурсах, что это, защита от winlock? Т.е. если сделать настройки antiwinlock, малварь не пролезет в автозагрузку, не сможет выбить ав в safe mode, типа этого?

Под ресурсами подрузамевается весь реестер (все его ключи и ветки) и весь Локальный диск. И ещё много чего отдельного...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
То, о чем тут говорится имеет прямое отношение, блин, к динамическому тесту АМ, а не к тесту самозащиты.

Именно! Вот там можно сколько угодно включать ручные режимы, смотреть как работает защита в комплексе. А тут мы проверяли только самозащиту типовых конфигураций.

WriteProcessMemory/CreateRemoteThread?

К слову это есть и всегда было в тесте. Вы не внимательно читали методологию.

После этого по нему можно справлять поминки. И что же, позволю себе поинтересоваться, произошло с этим тестом? Почему там всё на максимальных настройках?

Это не тест, а сравнение-исследование. Там проверяются возможности противостояния проникновению в ядро в принципе, любыми средствами, которые доступны в арсенале продукта, но это все оффтоп.

А можно попросить, что называется, "нагнать конкретики"?

Одни хвалятся продвинутой эвристикой, которую отключают по дефолту. Другие хвалятся поддержкой упаковщиков, но почему-то тоже по умолчанию забывают поставить нужную галку. У третьих хипс работает в полную силу только в том случае, если при уставновке выбрать некий "расширенный режим" :wacko: . Сколько можно морочить голову людям? Если функционал нужен и важен, включайте его по-умолчанию!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Обсуждение скина Пипкина тут: http://www.anti-malware.ru/forum/index.php?showtopic=9162

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlkatraZ

Хохо касперский снова платиновый... реальный отжиг от тестеров!

У вас кроме касперского в лидерах бывают, бывали, другие антивирусы?

почему я не могу в репу ставить + и -? че за жлобство со стороны админов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

По всей видимости некоторым людям очень трудно свыкнутся с мыслью, что ЛК делает приличные продукты и именно поэтому ее продукты зачастую побеждают в тестах. Гораздо легче все свалить на предвзятость тестеров и аффилированность АМ. Думаю, что такие беспочвенные обвинения нужно квалифицировать как заезжанный низкопробный троллинг со всеми вытекающими отсюда последствиями.

Господа, неужели вы думаете что АМ будет специально занижать результаты тестирования какого-либо продукта (включая Касперского), для того, чтобы создать видимость обективности портала и непредвзятости тестеров?

В общем так, обвинения портала в аффилированности или обвинения тестеров в предвзятости без приведения конкретных и внятных доказательств, а не домыслов, будет рассматриваться как пустословие и явный троллинг, а также как распространение ложных сведений, порочащих деловую репутацию портала (п. 11.1, 11.10 Правил форума).

На всякий случай скажу, что не пользуюсь продукцией ЛК уже более 4 лет и не считаю использование ее продуктов единственно возможным способом надежно защитить компьютер.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Ты уже смотрел утилиты, написанные Рабиновичем, чтобы убить продукты? И в них Илья, конечно, использовал этот метод? Везде.

Я ещё раз повторяю, эксперту, если он действительно эксперт, нет нужды смотреть "утилиты", ему достаточно посмотреть, что эти утилиты делают и какими средствами, благо всё это в результатах теста указано. Это искать дыры долго и нудно, а написать по готовому заданию или описанию несколько десятков строчек, особенно когда они уже где-то написаны, - дело минут или десятков минут. Для экспертов, разумеется.

Пошли переброски глупостями.

Да. Это причина не выкладывать тулзы для всех, т.к. кому надо - знают методы, а плодить кидди, нафик надо?

Ну и то, что дальше:

1. Слышать звон

2. Не по теме

3. Графомания

4. Полное игнорирование требований. Как на этапе их составления (публичного, обращу внимания), так и после выкатки результатов.

По существу возражений нет, правильно понимаю? И не надо тыкать, мы не на базаре.

----------------------------

К слову это есть и всегда было в тесте. Вы не внимательно читали методологию.

Я не понял, к чему Вы это написали применительно к контексту того обсуждения. Можете уточнить, что именно я невнимательно читал?

Это не тест, а сравнение-исследование. Там проверяются возможности противостояния проникновению в ядро в принципе, любыми средствами, которые доступны в арсенале продукта, но это все оффтоп.

Давайте обойдёмся без жонглирования словами. На форуме это упоминается в качестве "теста", там везде есть фразы "методология теста", "участники теста", "результаты теста" и т.д. И мне просто интересно понять, в чём принципиальная разница этих тестов-"сравнений", что так радикально отличаются настройки продуктов. К "домохозяйкам" в ядро не "проникают"? Или в чём? И я всё ещё не теряю надежды получить ответ на простой вопрос, с какими настройками и с какими ограничениями работали тесты под Комодо.

Одни хвалятся продвинутой эвристикой, которую отключают по дефолту. Другие хвалятся поддержкой упаковщиков, но почему-то тоже по умолчанию забывают поставить нужную галку. У третьих хипс работает в полную силу только в том случае, если при уставновке выбрать некий "расширенный режим" :wacko: . Сколько можно морочить голову людям? Если функционал нужен и важен, включайте его по-умолчанию!

Я не вижу здесь никакой конкретики. Вот честно, не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Давайте обойдёмся без жонглирования словами. На форуме это упоминается в качестве "теста", там везде есть фразы "методология теста", "участники теста", "результаты теста" и т.д. И мне просто интересно понять, в чём принципиальная разница этих тестов-"сравнений", что так радикально отличаются настройки продуктов.

Давайте обойдемся без навязывание своей точки зрения, ок? Мы не считаем тот тест полноценным, поэтому он называется сравнением. Надеюсь я четко выразился. Мы сделали исследование потенциальных (максимальных) возможностей продуктов, поэтому настройки закручивались как только можно сильно. В данном тесте мы использовали строго настройки по умолчанию. И будем продолжать тестировать именно с такими настройками. Я не собираюсь больше тратить время на доказывание очевидных вещей - 80-90% юзеров используют настройки по умолчанию и тест мы делаем для них.

Я не понял, к чему Вы это написали применительно к контексту того обсуждения. Можете уточнить, что именно я невнимательно читал?

Перечитайте список используемых в тесте методов внимательно, прежде чем делать какие-то предложения.

Я не вижу здесь никакой конкретики. Вот честно, не вижу.

Ваши проблемы. Кто знает продукты прекрасно понял о чем идет речь. Я не собираюсь публично кого-то тут "разоблачать".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Давайте обойдемся без навязывание своей точки зрения, ок? Мы не считаем тот тест полноценным, поэтому он называется сравнением. Надеюсь я четко выразился. Мы сделали исследование потенциальных (максимальных) возможностей продуктов, поэтому настройки закручивались как только можно сильно. В данном тесте мы использовали строго настройки по умолчанию. И будем продолжать тестировать именно с такими настройками. Я не собираюсь больше тратить время на доказывание очевидных вещей - 80-90% юзеров используют настройки по умолчанию и тест мы делаем для них.

А Вы знаете, я не навязываю свою точку зрения. В отличие от Вас. Я задал несколько простых вопросов, в частности, почему так сильно отличаются методики, тем более, что эти тесты весьма взаимосвязаны. Вы и сами так считаете:

Там писали, например, что можно кучей способов прибить любой антивирус из ядра. Только смысл это проверять? Пропустил я ядро - извини друг ...

но, почему-то, продолжаете настаивать на лингвистических различиях и каких-то "неполноценностях". Кстати, в какой из редакций того "сравнения" оно стало "сравнением"? В первой, или во второй? Я уже не помню просто, но топик на форуме однозначно говорит о тесте. И Вы, будучи автором теста, можете ответить на один простой вопрос о тестировании Комодо? Я могу даже его переформулировать, как так получилось, что тестовые утилиты оказались не в ограничениях? Ведь это же настройка по умолчанию, у "90% юзеров".

Перечитайте список используемых в тесте методов внимательно, прежде чем делать какие-то предложения.

Зачем мне его перечитывать, если Вы не можете объяснить, что имеете в виду? Свою точку зрения я уже высказал.

Ваши проблемы. Кто знает продукты прекрасно понял о чем идет речь. Я не собираюсь публично кого-то тут "разоблачать".

С чего Вы взяли, что я "не понял". Но зачем Вы приводите аргументы, если не хотите их кокретизировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ezh

Я бы сказал, что настройки по умолчанию у любых программ используют 98% пользователей. Любителей поковыряться не так много, как кажется тем, кто сам "в теме".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Удалил все сообщения, не вписывающиеся в тему. Прошу придерживатся обсуждаемой темы. Выяснять отношения, а также обсуждать модераторов лучше в приватном общении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

Нет не было. Он не дружит с VirtualBox, как и многие другие АВ. Мы использовали Vmware

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

кое кто опять что-то напутал? :lol:

вы же знаете кто ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

Проблемы с Comodo, судя по результатам теста, заключались в том, что тесты работали в доверенном режиме. Хотя при настройках по умолчанию, на которые здесь все усиленно напирают, неизвестные программы считаются им недоверенными и произвести указанные, как "непройденные" действия не могут, это есть даже в руководстве пользователя. И вопрос здесь не о Comodo конкретно, а а том, по каким причинам для одного из участников теста, фактически, была изменена методика тестирования. А тестирование под виртуалкой это вообще детский садик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak
кое кто опять что-то напутал? :lol:

вы же знаете кто ;)

Кто и что? Меня интересует именно Comodo. Мне ответили, за что спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Проблемы с Comodo, судя по результатам теста, заключались в том, что тесты работали в доверенном режиме. Хотя при настройках по умолчанию, на которые здесь все усиленно напирают, неизвестные программы считаются им недоверенными и произвести указанные, как "непройденные" действия не могут, это есть даже в руководстве пользователя. И вопрос здесь не о Comodo конкретно, а а том, по каким причинам для одного из участников теста, фактически, была изменена методика тестирования.

Вопрос именно в Комодо, конкретно.

Вы сами посудите - для проведения теста программы необходимо запустить. Вредоносными они не являются. Блокировка всего - это конечно забавно, но как же пользователи Комода вообще что либо на свои машины ставят ? Ждут пока файлы в "доверенные" кто-то добавит или делают это сами ? Ок, вот в ситуации когда пользователь сам файлы в доверенные внесет (из-за социальной инженерии, например) или эти файлы попадут в базу доверенных сами - Комодо и покажет тот результат, который он показал.

Если не поняли, то вот еще более простой пример-вопрос: - какой-то вендор тупо взял и задетектил все тестовые программы как вредоносные. И при запуске их - сигнатурами детектит и удаляет. Означает ли это что данная антивирусная программа неуязвима для типов атак, использованных в тестах ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если не поняли, то вот еще более простой пример-вопрос: - какой-то вендор тупо взял и задетектил все тестовые программы как вредоносные. И при запуске их - сигнатурами детектит и удаляет. Означает ли это что данная антивирусная программа неуязвима для типов атак, использованных в тестах ?

ntoskrnl, а такое кстати уже было в нашей практике.

Вообще тесты следует всего далеть таким образом, чтобы была проверка наихудшего сценария. И только так. Если можно нажать "Отменить/пропустить" - продукт теряет баллы. Ибо всегда найдется % юзеров которые так и сделают. Можно записать себе как теорему. К тому же другие вендоры как-то защищают в актоматическом режиме и ничего не спрашивают, не требуют "дурацкого" обучения, "расширенного режима" и т.п. Приравнивать их результаты ИМХО было бы очень несправедливо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Вопрос именно в Комодо, конкретно.

Я просто очень хорошо знаю принцип его работы, чтобы, когда второй тест подряд вижу, что он "пропускает" модификацию кем-попало охраняемых файлов/ключей или их атрибутов на настройках по умолчанию, я понимаю, что написана чушь.

Вы сами посудите - для проведения теста программы необходимо запустить. Вредоносными они не являются. Блокировка всего - это конечно забавно, но как же пользователи Комода вообще что либо на свои машины ставят ? Ждут пока файлы в "доверенные" кто-то добавит или делают это сами ? Ок, вот в ситуации когда пользователь сам файлы в доверенные внесет (из-за социальной инженерии, например) или эти файлы попадут в базу доверенных сами - Комодо и покажет тот результат, который он показал.

Ну так тесты запускаются. В песочнице. Автоматически. Пользователи прекрасно ставят программы, так же как и пользователи других вендоров. В режиме по умолчанию - по списку доверенных поставщиков, например. И я не видел, чтобы где-то в тесте было написано, что это тест пользователей и их решений.

Если не поняли, то вот еще более простой пример-вопрос: - какой-то вендор тупо взял и задетектил все тестовые программы как вредоносные. И при запуске их - сигнатурами детектит и удаляет. Означает ли это что данная антивирусная программа неуязвима для типов атак, использованных в тестах ?

Не надо думать, что я что-то "не понял". И отвлекитесь от сигнатур, здесь речь идёт о том, что была именена методика тестирования. Вместо проверки рекомендованых производителем настроек, как заявлено в методологии, тестер сам начал принимать решения по политике безопасности для определенных программ. Фактически, он приступил к настройке действий продукта. Для скольких участников была произведена подобная настройка? Остается гадать.

-----------------------------------

ntoskrnl, а такое кстати уже было в нашей практике.

Вообще тесты следует всего далеть таким образом, чтобы была проверка наихудшего сценария. И только так. Если можно нажать "Отменить/пропустить" - продукт теряет баллы. Ибо всегда найдется % юзеров которые так и сделают. Можно записать себе как теорему. К тому же другие вендоры как-то защищают в актоматическом режиме и ничего не спрашивают, не требуют "дурацкого" обучения, "расширенного режима" и т.п. Приравнивать их результаты ИМХО было бы очень несправедливо.

То есть Вы уже не настаиваете, как раньше, на том, что всё должно делаться на настройках по умолчанию? Уже, оказывается, надо настроить продукт на минимальную защиту? А не рекомендованую изготовителем? Давайте разберемся с простым вопросом. Ручное добавление теста в доверенные, тогда как в реальной жизни при указанных настройках, он попадает в недоверенные, это нормально? Что конкретно проверялось? Я уже спрашивал, проверялся функционал продукта, или конкретные настройки, в том числе внесенные тестером в политику безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну так тесты запускаются. В песочнице. Автоматически. Пользователи прекрасно ставят программы, так же как и пользователи других вендоров. В режиме по умолчанию - по списку доверенных поставщиков, например. И я не видел, чтобы где-то в тесте было написано, что это тест пользователей и их решений.

А где было написано что это был тест HIPSов или песочниц ? Их тестируют в другом тесте и по другой методике, в разделе "тесты" найдете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×