Перейти к содержанию
AlexxSun

:) Virusovnet Февраль 2012:

Recommended Posts

AlexxSun
С февраля 2012 года портал Comss.ru начинает проводить ежемесячные сравнительные тестирования антивирусов, комплексных решений и программ безопасности. Серия независимых тестов будет называться Virusovnet.

По итогам каждого теста, антивирусные программы будут получать соотвествующие награды “Virusovnet High+”, “Virusovnet High” и “Virusovnet Average”.

Тестирование в Феврале 2012 года проводилось на виртуальных машинах с ОС Windows 7 SP 1 x86 с использованием 500 последних образцов реальных угроз, собранных в сети Интернет.

Где

Типа метода ;)

Отзывы о конторе, которые уже были на АМ, просьба не повторяться :P

virusoff001.jpg

virusoff002.jpg

virusoff003.jpg

post-3858-1329840924_thumb.jpg

post-3858-1329840932_thumb.jpg

post-3858-1329840941_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

AlexxSun,

писали 40 минут назад - ушло в трэш. Еще раз писать про это не интересно :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Почитав, так и не понял сколько у TrustPort на самом деле движков.

5 разных что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Отзывы о конторе, которые уже были на АМ, просьба не повторяться tongue.gif

В апреле контора должна шестую версию выпустить,возьмите

images2233.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
OC Windows 7 SP1 x86, Virtualbox

Дальше можно не читать :facepalm:

И, да, троллям-защитникам на заметку: отмазки о том, что это проблемы вендоров (несовместимость с полным УГ-VB) не катят :lol:

UPD: у ребят с грамматикой проблемы были в школе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Ответьте на мой вопрос кто-нибудь, ПЖАЛУСТО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Какие-лиюо комментарии к этому "тесту" мне кажется излишни.

Парни реально рвут стереотипы. Все "попсовые" антивирусы замыкают рейтинг - решето :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

я плакалъ над методикой. Просто прелесть - 500 образцов малвари - какие, сколько, как проверялись на "живую породу" и почему 500..... Модно, коллеги, модно. Как там у киношников - "миллионер из трущоб"? тут "тестер из подворотни" :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Дальше можно не читать :facepalm:

И, да, троллям-защитникам на заметку: отмазки о том, что это проблемы вендоров (несовместимость с полным УГ-VB) не катят :lol:

UPD: у ребят с грамматикой проблемы были в школе.

Да у всех руки из жопы растут :lol: У VB (с хуком драйверов проблемы), у Firefox с частыми обновлениями (плагины не дает сделать), у Мелкософта с патч-гуардом (безопасная среда через жопу) etc. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Радуют каменты про "крутую проактивку" Emsisoft и Comodo (в одном ряду :facepalm: )

Чую, скоро "это зверюги по проактивке" станет мемом.

Кстати, гении мысли в каментах также путают тесты блокировки и тесты удаления, ООК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
я плакалъ над методикой....

Для меня есть несколько неясных моментов в их "методе":

1) Образцы, взятые для тестирования - где, по каким признакам собрана коллекция и что это было в принципе?

2) Настройки в антивирусе, в частности в Касперском:

а) был ли доступ в облако?

б) была ли установлена галка "Другие" в окне "Угрозы", как известно только после установки этой галки будут детектироваться всевозможные "not-a-virus", которых наверняка было полно в этой так называемой "динамической коллекции" :)

3) с какого перепуга KIS стали тестировать на VirtualBox'e ?

OC Windows 7 SP1 x86, Virtualbox

Kaspersky Internet Security 2012 12.0.0.374 (a.b.c.d.e.f.g)

Настройки:

Выбрано сканировать все типы файлов

Не удалять подозрительные объекты - галочка снята

Эвристический анализ поставлен на средний уровень

Проверка составных файлов - поставлены галочки на архивы и инсталл пакеты

Отключена проверка только новых и измененных файлов

Контроль программ и проактивка - убрана галочка с доверять программам имеющим цифровую подпись

Поиск руткитов включен

Действие при обнаружении угрозы - удалить

virusoff004.jpg

post-3858-1329899379_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
с какого перепуга

хоть что-то стали тестировать на VB? :)

AlexxSun, не написал про то, что это делали пять разных людей на пяти разных системах.

to Виталий Я.

а народ ведь повелся на это:

Поздравляю с серебром в этом тесте

:lol:

Пора такие "шедевры" заносить в блэк-листы антибанера/антифишинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Я особенно рад за TrustPort, таки умудрился показать 3 разных результата :D в одном тестировании.

Аплодисменты организаторам теста, самим тестерам и спасибо за хорошее настроение :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Хм, а что тут удивительного, ведь у TrustPort три разных варианта, по комплектации антивирусными движками, для меня было бы смешно, если бы они показали одинаковые результаты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Почитав, так и не понял сколько у TrustPort на самом деле движков.

5 разных что ли?

Угадали :)

В разных вариациях используются 5 движков.

Я особенно рад за TrustPort, таки умудрился показать 3 разных результата :D в одном тестировании.

Аплодисменты организаторам теста, самим тестерам и спасибо за хорошее настроение :)

Зря смеётесь. За это организаторам не придётся краснеть :) Действительно использовались три варианта с разными движками.

А могли бы и 4 указать. :) Если бы включили в тестирование TrustPort USB Antivirus 2012 с одним движком от AVG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Какие-лиюо комментарии к этому "тесту" мне кажется излишни.

Парни реально рвут стереотипы. Все "попсовые" антивирусы замыкают рейтинг - решето :)

А мне вот интересно, кто станет использовать результаты для пиара, а кто нет.

Один российский дистрибутор уже опубликовал данные, попутно убрав два "лишних" результата TrustPort :) На оригинальном сайте Emsisoft пока нет результатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Я тоже лет 5 назад занимался чем-то подобным, собирал по своим знакомым "образцы" малвари, скачивал их из паков в интернете и сканировал эти архивы всякими антивирусами на виртуалке. Потом мне это поднадоело, убедился что проку от такого "тестирования" не очень много.

Мне больше интересно мнение специалистов по так называемой "методе" тестирования. У нас на форуме все разговоры свелись в основном к тому, что зря они всё это затеяли на VB. А вот на такие нюансы, как я указал выше, никто особо внимание не обратил.

Этих типа "тестеров" я понял - они не дали доступ в облако потому, что побоялись спалить через KSN образцы своей "динамической коллекции". Далее наверно было следующее : -"Ну а как в отчётах укажем?". -"А давайте в отчётах вообще про это не напишем, авось никто и не заметит?"

Хотелось бы, чтобы соображающие в настройках других продуктов пользователи проверили их "методу" на предмет таких вот косяков и недомолвок. Можно конечно назвать их клоунами и закрыть глаза на такое "тестирование", но лучше показать на фактах, что доверять таким тестам нельзя. А то некоторые горячие головы уже стали предъявлять претензии, типа: "Почему у флагмана антивирусной индустрии только 18-ое место в тесте?"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Угадали :)

В разных вариациях используются 5 движков.

Зря смеётесь. За это организаторам не придётся краснеть :) Действительно использовались три варианта с разными движками.

А могли бы и 4 указать. :) Если бы включили в тестирование TrustPort USB Antivirus 2012 с одним движком от AVG

Абра-кадабра...

Я запутался... Что подумают другие, кто еще дальше от темы, чем я?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

еще - прогон был по "тушкам", а не по реально зараженной системе. Многие виды малвари на заражают виртуальные машины. Второе - тест просто на детект "тушек"? тогда что за "тушки", какие, откуда и как верифицировались на живую породу (часто используют "мертвую породу")?

У меня еще много вопросов, а ответов в сем "поделии" то и нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Дополнительный вопрос для организаторов "тестирования": если при контекстной проверке угроз не обнаружено - антивирусная составляющая неспособна обеспечить защиту? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну как бы ЛК в апреле выпускает антивирус для виртуальных сред, и предполагается поддержка многих виртуальных машин:
Но работать то он будет с виртуальными средами, т.е. совместимость обязана быть в обоих направлениях, или я что то не догоняю?

Вы совсем не догоняете. Слышали звон о выходе продукта, а в чем его особенность не удосужились даже прочитать http://www.anti-malware.ru/forum/index.php?showtopic=21402

Но все это к самом тесту не относится.

Меня больше всего прикалывается, что этот тест называется "динамическим". :) Я воспринимаю это как надругательство над самой идеей тестирования антивирусов и умышленное искажение терминологии. Вопрос только зачем и кому это нужно ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Имхо:

1. В данном "тестировании" неразглашение коллекции может быть прикрыто чем угодно, начиная от статьи 273 УК РФ. Однако MD5 семплов под эти требования не подпадают и в теории должны быть публично известны. В противном случае этот тест не более чем "сезонное мартовское обострение" (правда обычно фигрурирует коллекция на 1000 вирусов), так как совершенно не ясно, что там - креки, кейгены, шутки, фолсы по детекту антивируса X, тулбары какие-то и т.п. Публикация базы MD5 сняла бы этот вопрос (причем если посмотреть посты выше, то вопрос о том, что за семплы, откуда брались, как проверялись и т.п. задается в каждом втором посте)

2. Пост Юрия Паршина про виртуалку ушел в оффтопик, а зря. Дело в том, что любая основанная на эмуляторе технология исследования малварей под виртуалкой может "просесть" на порядок (так как получим "виртуальный запуск малвари под виртуальной машиной" :)). Эмулятору же никто не даст изучать семпл 3 часа - и при одинаковой квоте времени на изучение семпла на реальном железе он изучит семпл и найдет зловредное поведение, на виртуалке - банально не успеет доэмулировать до нужного места

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Grover

http://www.comss.ru/page.php?id=887

Покажите мне другое тестирование другой и, как принято у некоторых, общепризнанной лаборатории с относительно признаваемой методикой, кто бы еще провел тест антивирусов именно от вэб угроз, еще и сравнительно с последующим долавливанием:

Колонка "Загрузка" показывает уровень обнаружения при загрузке вредоносных файлов из Интернета.

Колонка "Общий детект" показывает общий уровень обнаружения после сканирования по требованию остатков загрузки.

Если подобное не делалось, то почему?

Желательно в разрезе сравнения количества детектов проникновения через браузер с количеством реакций на изначально локальные запуски.

Отредактировал Grover

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Grover, гуглите на тему Whole Product Test или Dynamic Product Test на нашем форуме в том числе. Именно на вебе все и тестят. Мы тоже делали такой тест на примере 0-day угроз http://www.anti-malware.ru/antivirus_test_...-day_protection

Колонка "Загрузка" показывает уровень обнаружения при загрузке вредоносных файлов из Интернета.

Какое это вообще имеет значение? Главное, что атака устранена, каким компонентом это неважно.

Колонка "Общий детект" показывает общий уровень обнаружения после сканирования по требованию остатков загрузки.

И о чем это говорит? Ну остались какие-то там хвосты, что дальше? Если атака устранена, то все это никого не волнует опять же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×