Перейти к содержанию
Сергей Ильин

Тест антивирусов/антируткитов на обнаружение активных руткитов (результаты)

Recommended Posts

Mr. Justice
Вы, видимо, не привыкли к тому, что для повышения качества тестирований меня уже давно не интересует, где был бы тот или иной антивирус, даже если он мне симпатизирует и даже если я являюсь сотрудником одной из компаний, продукты которой участвуют в тестах. Если с помощью какого-либо из дефектов тестирования Dr.Web будет на более высоком месте, в других тестированиях он может быть на более низких местах из-за этого же дефекта. Я пытаюсь бороться за повышение общего качества тестирования.

Валерий, у меня сложилось впечатление, что Вы слишком предвзято относитесь к тому. что обсуждается на форуме. Хотелось бы верить, что я ошибаюсь. Ладно, не будем об этом. Извините, если обидел.

Ещё раз. Был выбран репрезентативный (по мнению авторов теста) набор концептов руткитов. При этом выяснилось, что какой-то из продуктов, на которых проводилось тестирование взял все условно неизвестные руткиты. Но при этом на реальных (вредоносных) руткитах этот же продукт не детектирует все руткиты.

Не смог взять всего лишь один из "реальных" руткитов. Это вполне нормально.

Из этого делаем вывод, что реальные руткиты могут действовать и как-то по-другому, нежели выбранные концепты для тестирования проактивки.

Нет , из приведенных выше суждений такой вывод сделать нельзя! Из ваших посылок не следует, что есть принципиальные отличия между "реальными" и "концептуальными" руткитами. Вдумайтесь внимательно в то, что Вы пишите!

Соответственно, в наборе концептов для тестирования проактивки есть "пробелы", которые позволяют реальным руткитам обходить эту самую проактивку.

Вы не правы. Касперский сумел обнаружить 5 из 6 "реальных" руткитов, и 4 из 4 "концептуальных" руткитов. То есть разница минимальна (между детектированием обеих групп вредоноснов). И даже если разница была бы существенной, вывод о нерепрезентативности теста нельзя было бы признать доказанным. Это нелогично.

Т.е. в следующем тестировании надо добавить такие концепты, которые будут отражать поведение реальных руткитов, которые продукты с проактивкой не брали.

Нет. Тогда мы теряем в репрезентативности. Антивирус должен защищать не только от существующих на сегодняшний день угроз (реактиваня защита), он должен уметь противостоять угрозам, с которыми пользователь может столкнуться в ближайшем будущем (превентивная защита).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Mr. Justice, я человек творческий, поэтому придумал такое вот образное представление своих мыслей.

Представьте себе Вторую Мировую Войну и 2 отряда по 10 человек - один немецкий, другой - советский.

Первый (немецкий) отряд проходил довольно продолжительное время обучение военному делу, изучал тактику ведения боевых действий советских войск, отрабатывал собственную тактику противодействия. (т.е. хорошая проактивка).

А советский отряд - сплошь партизаны, которые состоят из вчерашних учителей и токарей, которым пришлось взять винтовки и гранаты в руки вчера. Единственное преимущество - хорошо знают местность (аналог сигнатур).

В итоге немецкая сторона несёт потери в 3 человека, советская - в 2 человека.

В итоге побеждает немецкая сторона. Т.к. потенциально имела больше шансов победить :lol:

Отсюда следующий очень важный вопрос - какой вес в общих результатах теста на противодействие руткитам должен иметь детект невредоносных концептных руткитов? Я всё больше склоняюсь к тому, что вес должен быть невысокий. Т.е. я согласен, что, возможно, нужно сюда включать и проактивку, но если она несильно влияет на уровень детекта реальных руткитов, то влияние на общий результат должно быть тоже несильным, по крайней мере не на равных условиях с детектом реальных руткитов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Пример неудачный. Какой вес? Смотрите внимательно методологию оценки. Реальные руткиты оцениваются в 1 балл, а "концептуальные" - 0,5 баллов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Попробую немного прояснить ситуацию, дабы не было много споров.

Начну с проактивного детекта:

в данном случае проактивный детект на руткитах - это детект скрытого на диске файла малвары без наличия сигнатуры, детект скрытого процесса (процесса невидимого в диспетчере задач или его аналогов) или наличия скрытого драйвера в памяти. В случае антивируса Касперского - он позволяет обнаруживать скрытые процессы и файлы. Для обнаружения скрытых файлов сигнатуры не нужна. Вердик - Hidden File. То есть этот проактив не имеет ничего общего с той проактивкой, которая срабатывает при запуске малвары. Таким образом, проактивный детект руткитов позволяет удалять файлы руткитов (или завершать скрытые процессы) еще не известных сигнатурно.

В методике теста указано, что все малвары используемые в тесте были на момент тестирования известны сигнатурно всем используемым антивирусам. Следовательно - проактивного детекта на малварах у Касперского не было. Да и проактивный детект не может сработать там, где не сработала бы сигнатура (касается скрытых файлов).

Что касается подбора демо-руткитов для теста проактива - то были взяты только те, которые дополняют ITW - чтобы не пересекались способы маскировки у ITW и концептов. Поэтому можно заметить - что 3 из 4 концепта используются для маскировки процесса - т.к. из ITW маскировал процесс только Wopla (sklog).

Отмечу тенденцию к появлению руткитов не маскирующихся на диске - они видны, но доступ к ним заблокирован по руткит-технологии. Соответственно - антивирус не может проверить файл на наличие сигнатуры, а соответсвенно обнаружить вредоносную программу. Пример - Rootkit.Win32.Podnuha. Поскольку файл малвары виден - то не срабатывает проактивный детект.

Что касается упомянутой тут статьи в IT-спец - там упор бы не на функционал антивирусов, а принципиальная возможность детtкта/удаления руткита в системе. Поэтому использовались только известные сигнатурно малвары, дабы все были в равных условиях.

Приведу пример:

Есть руткит Хаксдур. Если он известен сигнатурно - его обнаружат и удалят как Касперский так и Доктор веб. если же нет сигнатуры у обоих антивирусов - его обнаружит и удалит только Касперский.

Есть руткит Podnuha. Если сигнатуры нет у обоих антивирусов - его не обнаружат и не удалят ни Касперский, ни Доктор веб. если же есть сигнатура у обоих - его обнаружит и удалит Доктро веб, а для Касперского он так и останется невидимым.

от сюда видно - что есть принципиальная возможность детекта и что есть проактив.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий' date=' у меня сложилось впечатление, что Вы слишком предвзято относитесь к тому. что обсуждается на форуме. Хотелось бы верить, что я ошибаюсь.[/quote']

Почему же? Я с недавних пор начал публиковать ссылки и материалы в виде тестов, которые встречаю на просторах Интернета. Кроме того, я отмечаю, что на портале anti-malware.ru тестирования проводятся на весьма высоком уровне. Далее, отвечая на вопросы наших пользователей, я довольно часто даю ссылку на http://antimalware.ru/index.phtml?part=tests . Довольно смелый шаг для человека, который предвзято относится ко всему, что обсуждается на форуме.

При этом я считаю, что в праве разрешать противоречия, которые возникают у меня в голове по поводу того, что происходит на портале с помощью соответствующих дискуссий.

По крайней мере, это более конструктивно (хотя и менее весело), чем общаться с виталиками.

Вы не правы. Касперский сумел обнаружить 5 из 6 "реальных" руткитов' date=' и 4 из 4 "концептуальных" руткитов.[/quote']

Вот это как раз говорит о том, что репрезентативность набора реальных руткитов и набора концептов - неодинаковая, что искажает результаты теста.

Valery Ledovskoy писал(а):

Реальные руткиты оцениваются в 1 балл' date=' а "концептуальные" - 0,5 баллов.[/quote']

Почему именно столько? А если Виталик предложит не 0,5, а 0,25?

vaber, спасибо за ответ, он многое прояснил. Думаю, информация будет полезна не только мне.

в данном случае проактивный детект на руткитах - это детект скрытого на диске файла малвары без наличия сигнатуры' date=' детект скрытого процесса (процесса невидимого в диспетчере задач или его аналогов) или наличия скрытого драйвера в памяти. В случае антивируса Касперского - он позволяет обнаруживать скрытые процессы и файлы.[/quote']

Хочу для уточнения задать и такой, возможно, простой вопрос. У Dr.Web в логе эти скрытые файлы обнаружены не были? Т.е. эти скрытые файлы не были просканированы, хотя бы и с вердиктом "Ok"? (я пока просто про скрытые файлы, не процессы). Если они были просканированы, то, возможно, стоит в функциональность Dr.Web добавить в вывод в таблице инфекций, а также в лог информацию о файлах, которые были обнаружены с помощью Dr.Web Shield и таким образом вызывают подозрения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Что касается веса оценки детекта ITW и концептов - тут я пасс :). Я ставил оценку таким образом:

Если руткит (будь то концепт или ITW) был обнаружен (хотя бы его присутствие в системе без указания где он) - ставил 0,5 балла. Если он был еще и удален - то еще 0,5 балла.

Поскольку концепты не противятся своему удалению (там где процесс - и удалять нечего) - то можно ставить + только за обнаружение. ЧТо я и сделал. Соотвественно так же обнаружившие получали 0,5.

З.Ы. В следующий раз мешать концепты и ITW я вероятно не стану. Возможно чистого теста с руткитами тоже не будет - все руткиты будут включаться в тест на активное заражение. А тест только с антируткитами как спецсредствами для борьбы с руткитами - не столь интересен, т.к. они мало известны и мало используются пользователями в отличии от антивирусных продуктов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Почему же? Я с недавних пор начал публиковать ссылки и материалы в виде тестов, которые встречаю на просторах Интернета. Кроме того, я отмечаю, что на портале anti-malware.ru тестирования проводятся на весьма высоком уровне. Далее, отвечая на вопросы наших пользователей, я довольно часто даю ссылку на http://antimalware.ru/index.phtml?part=tests . Довольно смелый шаг для человека, который предвзято относится ко всему, что обсуждается на форуме.

Я не это имел в виду. В общем неважно.

Вы не правы. Касперский сумел обнаружить 5 из 6 "реальных" руткитов, и 4 из 4 "концептуальных" руткитов.
Вот это как раз говорит о том, что репрезентативность набора реальных руткитов и набора концептов - неодинаковая, что искажает результаты теста.

Почему? Детект примерно одинаковый как на "реальных", так и на "концептуальных". И даже если разница была бы существенной, это не о чем бы не говорило. Не вижу никаих оснований для тех выводов, которые вы делаете. По моему нелогичность ваших суждений очевидна. Вы дорисовываете, то что вам хочеться видеть, но ваши суждения не опираются на правила логики, это лишь домыслы.

И где же мы тут теряем в репрезентативности?

Мы не учитваем превентивность защиты. Напоминаю, что это тест на общий детект и удаление, а не на сигнатурный.

Мы добавим такие концепты, которых до этого не было в тестах. И увидим, что проактивка не может давать 100%-ую защиту не только на реальных руткитах, но и на концептах.

Это не имеет никакого значения. Добавлены руткиты, которых нет, но которые могут появится с очень высокой степенью вероятности, так как уже разработаны соответствующие концепты и заложенными в них идеями можно пользоваться. Что тут непонятного? ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Хочу для уточнения задать и такой, возможно, простой вопрос. У Dr.Web в логе эти скрытые файлы обнаружены не были? Т.е. эти скрытые файлы не были просканированы, хотя бы и с вердиктом "Ok"? (я пока просто про скрытые файлы, не процессы). Если они были просканированы, то, возможно, стоит в функциональность Dr.Web добавить в вывод в таблице инфекций, а также в лог информацию о файлах, которые были обнаружены с помощью Dr.Web Shield и таким образом вызывают подозрения?

Проактивный детект проверялся только на 4 концептах - 3 из них - скрытый процесс. Один - скрытый файл. Его сканер не видит в принципе (так же как Podnuha не видит Касперский). Суть таже как и с элиткейлоггер - те руткиты, где используется драйвер-фильтр для сканера невидимы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Реальные руткиты оцениваются в 1 балл, а "концептуальные" - 0,5 баллов.

А ещё это вполне реальный довод к тому, что складываются неэквивалентные вещи, а поэтому будет весьма сложно прийти к консенсусу.

Я всё же склоняюсь, что проактивка и сигнатурный детект руткитов должны показываться в результатах отдельно.

Это как у нас на http://stat.drweb.com раньше показывались суммарные цифры по сканированиям почтовыми севрерами и ES-серверами. Да, вроде бы и там, и там проверятся файлы и находятся вирусы. Но суммарная цифра просто ничего не показывает. А по отдельности информацию по ES-серверам и почтовым серверам можно уже как-то анализировать. Поэтому сейчас эта статистика существует только в раздельном виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
А ещё это вполне реальный довод к тому, что складываются неэквивалентные вещи, а поэтому будет весьма сложно прийти к консенсусу.

Я всё же склоняюсь, что проактивка и сигнатурный детект руткитов должны показываться в результатах отдельно.

Еще раз повторяю, что для конечного пользователя неважно каким способом антивирус обнаружил руткит. Недооценивать возможности проактивной защиты и непонимать ее важность по меньшей мере неразумно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Почему? Детект примерно одинаковый как на "реальных", так и на "концептуальных".

Если бы было 999-1000 и 555-555 - это разница несущественная.

А если 5-6 и 4-4, то посчитайте, сколько процентов "весит" каждая единица.

Вы дорисовываете, то что вам хочеться видеть, но ваши суждения не опираются на правила логики, это лишь домыслы.

Это не домыслы. Это сомнения. А если есть сомнения, значит, есть нечёткость в цифрах.

Проактивный детект проверялся только на 4 концептах - 3 из них - скрытый процесс. Один - скрытый файл. Его сканер не видит в принципе. Суть таже как и с элиткейлоггер - те руткиты, где используется драйвер-фильтр для сканера невидимы.

Ещё раз спасибо за объяснение. Хотелось бы подробнее узнать, что такое эти драйверы-фильтры и как они работают, если это не сложно.

Добавлены руткиты, которых нет, но которые могут появится с очень высокой степенью вероятности, так как уже разработаны соответствующие концепты и заложенными в них идеями можно пользоваться. Что тут непонятного? ...

Когда будут не только концепты, они будут добавлены в базы. Возможно, не все. Но у Dr.Web не будет нулевого детекта руткитов, основанных на этих концептах.

Напоминаю, что это тест на общий детект и удаление, а не на сигнатурный.

Детект и удаление чего? Сумма из детекта вредоносных руткитов и невредоносных концептов. Почему меня это волнует - см. предыдущий мой абзац.

Кстати, насколько я понимаю, антивирусы и антируткиты для детекта и выноса руткитов сами используют руткит-технологии. Если это так, то почему проактивка их не ловит? Или ловит? Было бы интересно ещё и на этот вопрос ответ получить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Почему? Детект примерно одинаковый как на "реальных", так и на "концептуальных".

Если бы было 999-1000 и 555-555 - это разница несущественная.

А если 5-6 и 4-4, то посчитайте, сколько процентов "весит" каждая единица.

В контексте данного теста это несущественная разница. Где вы найдет столько технологий скрытия? Тест, как раз наоборот, благодаря "концептам" наиболее полно охватывает все известные технологии.

Это не домыслы. Это сомнения. А если есть сомнения, значит, есть нечёткость в цифрах.

Сомневаться можно почти во всем! Но это не дает нам основания делать серьезные выводы.

Когда будут не только концепты, они будут добавлены в базы. Возможно, не все. Но у Dr.Web не будет нулевого детекта руткитов, основанных на этих концептах.

То есть вы сомневаетесь в необходимости использования превентивной защиты? Мда....

Детект и удаление чего?

Вы зачем это глупый вопрос задаете?

Кстати, насколько я понимаю, антивирусы и антируткиты для детекта и выноса руткитов сами используют руткит-технологии. Если это так, то почему проактивка их не ловит? Или ловит? Было бы интересно ещё и на этот вопрос ответ получить.

Это наверно говорит о том, что она неплохо продумана.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Валерий, поздравляю.

успели

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
В контексте данного теста это несущественная разница.

Почему?

Где вы найдет столько технологий скрытия?

Это уже другой вопрос.

Тест, как раз наоборот, благодаря "концептам" наиболее полно охватывает все известные технологии.

Согласен, охватывает полно.

То есть вы сомневаетесь в необходимости использования превентивной защиты? Мда....

Нет, я сомневаюсь в общих результатах теста. Появятся реальные вредоносные сэмплы, основанные на этих концептах - они появятся и в базах. Результаты теста такой возможности не показывают. Они говорят, что вредоносные руткиты, которые будут основаны на этих конептах, не будут браться сигнатурно. А они будут добавляться в базы и будут браться в том числе и сигнатурно.

При этом я не говорю, что нет необходимости в разработке превентивной защиты от руткитов. Необходимость такая, безусловно, есть.

Это наверно говорит о том, что она неплохо продумана.Smile

Т.е. если руткит будет использовать те же методы, что и Dr.Web Shield (к примеру), то он не будет обнаружен проактивкой? Такая вероятность существует?

Добавлено спустя 5 минут 24 секунды:

Валерий, поздравляю.

успели

Спасибо. Я не стремился, в общем-то :)

Но так вот получилось. Всё не было времени этот тест рассмотреть подробно. И не хотелось дискуссию до НГ завязывать - в неудобное время результаты выложили.

Но что-то дёрнуло ведь меня :)

Но я вроде почти всё уже для себя выяснил за исключением некоторых моментов ради собственного ликбеза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Хотелось бы подробнее узнать, что такое эти драйверы-фильтры и как они работают, если это не сложно.

В данном случае идет речь о драйвер-фильтре файловой системы. Он перехватывает пакеты запросов ввода/вывода (IRP) идущие к драйверу файловой системы. Поскольку при обращение к файлам формируются соответствующие IRP - драйвер руткита может модифицировать передоваемые в нем данные, а уже потом передать драйвер файловой системы. Причем модификация возможна как на пути к драйверу фс так и обратно. Яркий пример - драйвер утилиты FileMon Руссиновича. Это тоже драйвер-фильтр файловой ссистемы, только передаваемые пакеты он не модиффицирует.

Кстати, насколько я понимаю, антивирусы и антируткиты для детекта и выноса руткитов сами используют руткит-технологии. Если это так, то почему проактивка их не ловит? Или ловит? Было бы интересно ещё и на этот вопрос ответ получить.

Проактивка Касперского? Она ловит инсталляцию большинства руткитов и, соответственно, позволяет блокировать их установку в системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Нет, я сомневаюсь в общих результатах теста. Появятся реальные вредоносные сэмплы, основанные на этих концептах - они появятся и в базах. Результаты теста такой возможности не показывают. Они говорят, что вредоносные руткиты, которые будут основаны на этих конептах, не будут браться сигнатурно. А они будут добавляться в базы и будут браться в том числе и сигнатурно.

Навеяло аллегорией про партизан и немцев. Нарисуем и мы эдакого сферического коня в вакууме.

20ХХ год. В мире остался только один антивирус.

DrWeb.

Нет больше никого, все пали, проиграли, разорились.

Хакеры остались.

Валерий, расскажите мне пожалуйста, каким образом вредоносные руткиты, основанные на концептах, не берущихся DrWeb технологиях скрытия - попадут в ваши базы и начнут детектироваться сигнатурно?

вариант - будут обнаружены другим антивирусомантируткит утилитой - не катит. все умерли, никого нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Проактивно детектируется только то, что характерно для ITW, потенциально опасно - не любое проявление руткит-технологии. Скажем, если файл или процесс скрыт - это подозрительно и опасно - алерт. Если же просто стоит хук на какую-либо функцию (как драйвер даемон тула) - то алерта не будет, поскольку потенциально опасного в системе не происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
В контексте данного теста это несущественная разница.

Почему?

Валерий, неужели Вы сами не в состоянии ответить на это?

Где вы найдет столько технологий скрытия?

Это уже другой вопрос.

Как это другой? Он имеет прямое отношение к условиям теста. Вы же не станете предлагать добавить в тест оценку технологий скрытия, которые не могут существовать вообще или расширять перечень способов маскировки до бесконечности, только ради того, что бы добится желаемого результата 999 из 1000. Это бессмысленно, да и физически невозможно.

Согласен, охватывает полно.

Тогда какие претензии к репрезентативности и объективности?

Нет, я сомневаюсь в общих результатах теста. Появятся реальные вредоносные сэмплы, основанные на этих концептах - они появятся и в базах. Результаты теста такой возможности не показывают.

Ну это само собой. Вендоры будут добавлять соответствующие сигнатуры в базы, но какое отношение это имеет к тесту? Здесь тестируется не способности вирусных лабораторий к добавлению сигнатур (не полнота добавления и скорость реакции), а способность к противодействию с помощью имеющихся на данный момент средств борьбы. Попросите vabera, может быть он проведет тест о котором вы говорите.

Они говорят, что вредоносные руткиты, которые будут основаны на этих конептах, не будут браться сигнатурно.

:) С чего Вы взяли. Валерий, прочитайте еще раз что вы пишите! Я очень вас прошу.

А они будут добавляться в базы и будут браться в том числе и сигнатурно.

Конечно.

При этом я не говорю, что нет необходимости в разработке превентивной защиты от руткитов. Необходимость такая, безусловно, есть.

Валерий в ы противоречите себе и уже не в первый раз.

Т.е. если руткит будет использовать те же методы, что и Dr.Web Shield (к примеру), то он не будет обнаружен проактивкой? Такая вероятность существует?

На этот вопрос я вам ответить не смогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Проактивно детектируется только то, что характерно для ITW, потенциально опасно - не любое проявление руткит-технологии. Скажем, если файл или процесс скрыт - это подозрительно и опасно - алерт. Если же просто стоит хук на какую-либо функцию (как драйвер даемон тула) - то алерта не будет, поскольку потенциально опасного в системе не происходит.

Ясно. Спасибо за информацию.

Навеяло аллегорией про партизан и немцев. Нарисуем и мы эдакого сферического коня в вакууме.

20ХХ год. В мире остался только один антивирус.

DrWeb.

Нет больше никого, все пали, проиграли, разорились.

Хакеры остались.

Валерий, расскажите мне пожалуйста, каким образом вредоносные руткиты, основанные на концептах, не берущихся DrWeb технологиях скрытия - попадут в ваши базы и начнут детектироваться сигнатурно?

вариант - будут обнаружены другим антивирусомантируткит утилитой - не катит. все умерли, никого нет.

Разработчики останутся ;)

Будут собственные вспомогательные утилиты. Будут разработаны новые способы детекта руткитов. И не сомневайтесь, они разрабатывались и будут разрабатываться.

Новые способы детекта руткитов будут сначала выпускаться в виде утилит, а потом постепенно встраиваться в основной функционал антивирусов.

Новые семплы будут не только к неквалифицированным пользователям попадать, но и к специалистам, которые общаются с нашими разработчиками, и, собственно, к разработчикам.

Кстати, если эту аллегорию про будущее обратить в реальность про прошлое, то мы вспомним время, когда повсеместно стоял Dr.Web и активно появлялись новые полиморфные вирусы, а Dr.Web активно им противодействовал. И были тогда и стелс-вирусы, и загрузочные вирусы, и OneHalf, и как-то справлялись.

Добавлено спустя 20 минут 18 секунд:

Mr. Justice, думаю, и Ваша, и моя позиция всем уже понятна, не будем переливать из пустого в порожнее.

Я лишь кратко резюмирую в виде тезисов:

1. Результаты теста неидеальны, тестирование можно сделать более объективным. Это аксиома, и она годится для любого тестирования.

2. Почему тест был сделан именно в том виде, в котором он был представлен, тоже понятно. Иначе было нельзя - это ясно. И они хоть что-то показывают. При этом можно посмотреть подробно методологию и результаты по каждому сэмплу. Это несомненный плюс тесту, т.к. даёт возможность собственной интерпретации результатов.

3. Интерпретация тестов может быть разной. Мне понятна Ваша интерпретация, автор вообще не должен интерпретировать результаты, а быть объективным, а Вам, насколько я понимаю, понятна моя интерпретация теста. И это здорово.

4. У автора теста есть планы на будущие тестирования. И я вижу, что они будут ещё более интересными и объективными. Поэтому желаю удачи.

5. Безусловно нужно развивать превентивные методы защиты от воздействия вредоносных программ, в том числе и руткитов. Но нужно правильно расставлять приоритеты в разработке этих методов. И пока ещё превентивные методы защиты (даже та же классическая эвристика) слабо помогает неподготовленному пользователю. Во-первых, просто эффективность её пока низка, а во-вторых, пользователь должен часто включать и собственные мозги. Да, есть "базовая проактивка", но и эффективность у неё ниже, чем у "полной", а зачем тогда полная? Возможно, не все вендоры пока считают, что параметр эффективность*качество некоторых из новых превентивных методов защиты достаточно высокий для того, чтобы его включать в продукты. Но разработка подобных методов ведётся всеми вендорами, которые хотят остаться на антивирусном рынке.

Итого, спасибо за дискуссию. Надеюсь, ни у кого я не испортил предновогоднего настроения своей "выходкой". Желаю всем всего наилучшего в Новом Году :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

В методологии опечатка

Установка (запуск) тестируемой антивируса/антируткита и очистка системы;

+ Почему по-разному происходило тестирование ITW и концептов? В первом случае, исходя из методологии, сначала машина заражалась, а потом ставился защитный продукт - по сути повторение теста на активное лечение, а в случае с концептами наоборот - сначала ставился защитный продукт, а потом ставился концепт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
+ Почему по-разному происходило тестирование ITW и концептов? В первом случае, исходя из методологии, сначала машина заражалась, а потом ставился защитный продукт - по сути повторение теста на активное лечение, а в случае с концептами наоборот - сначала ставился защитный продукт, а потом ставился концепт.

Потому как концепты в автозапуск не прописываюстя, а стало быть после ребута (апосле установки антивируса его нужно производить) руткита уже не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ThreatSense®Vitalik

Тема про руткниты.

http://forum.kaspersky.com/index.php?showtopic=54575

Руткит Alman,1 ссылка потомушто один из новых.

http://forum.kaspersky.com/index.php?showtopic=54341

Rootkit.Win32.Agent.qz

http://forum.kaspersky.com/index.php?showtopic=56489

Rootkit.win32.agent.pg

http://forum.kaspersky.com/index.php?showtopic=55750

И тему "Борьба с вирусами" почитайте,с многими вирусами неможет сам справится,да любой антивирус не может справится наверно с большим количеством активного заражения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Сделаю свои выводиты относительно теста, опираясь в том числе и на рузельтаты дискуссии.

1.Учитывая условия проведения теста и методику определения результатов можно сделать однозначный вывод о репрезентативности теста.

2.Удаление из тестовой коллекции «концептуальных» руткитов неизбежно приведет к существенном снижению репрезентативности исследования. Это не что иное как банальное выхолащивание условий и результатов теста. Присутствие «концептов» - атрибутивное условие настоящего репрезентативного теста.

3.Мой оппонент явно недооценивает роль проактивной защиты в борьбе с руткитами, несмотря на то, что заявляет прямо противоположное.

4.Не было приведено ни одного серьезного контраргумента в отношении изложенных выше доводов.

5.Критика указанных выше доводов, по моему мнению носила деструктивный характер, противоположная сторона прикрывлась лишь мнинмой конструктивностью.

6.Предложения, высказанные моим оппонентом не способный существенно улучшить условия и методику проведения подобных тестов в будущем и не в состоянии существенным образом повлиять на их результаты. Кроме того, некторые из них они просто неосуществимы и нежелательны.

Добавлено спустя 27 минут 16 секунд:

В методологии опечатка
Тема про руткниты.

http://forum.kaspersky.com/index.php?showtopic=54575

Руткит Alman' date='1 ссылка потомушто один из новых.

http://forum.kaspersky.com/index.php?showtopic=54341

Rootkit.Win32.Agent.qz

http://forum.kaspersky.com/index.php?showtopic=56489

Rootkit.win32.agent.pg

http://forum.kaspersky.com/index.php?showtopic=55750

И тему "Борьба с вирусами" почитайте,с многими вирусами неможет сам справится,да любой антивирус не может справится наверно с большим количеством активного заражения.[/quote']

Почитайте внимательно, что пишут участники форума по этому поводу. Прочитали? Неужели не видно, что их аргументы-вопросы сводят на нет все ваши усилия по дискредитации теста.

Добавлено спустя 1 минуту 55 секунд:

Прошу высказываться в конструктивном духе. Охаять тест может каждый, а предложить что-то дельное далеко не все!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Потому как концепты в автозапуск не прописываюстя

У меня сложилось впечатление, что Unreal не удаляет свою запись из реестра и сообразно инициализируется после каждой перезагрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Mr. Justice, Ваше резюме полностью деструктивно ко мне как к оппоненту. Например, ни Вы, ни автор теста (он в этом признался) не смогли объяснить, почему для концептов был выбран коэффициент 0,5. Каким образом он был вычислен? Почему не 0,3 или не 0,8 или не на равных с реальными руткитами? А если это не объяснено в методике, то я могу сделать вывод, что этот дефект методики позволяет играть результатами так, как хочется. Попробуйте поизменять этот коэффициент от 0,25 до 0,75 и Вы увидите, как меняются итоговые результаты.

3.Мой оппонент явно недооценивает роль проактивной защиты в борьбе с руткитами, несмотря на то, что заявляет прямо противоположное.

Нет, не так. Разработка "проактивных" методов защиты ведётся большинством вендоров, и все вендоры понимают необходимость этого. Но не все вендоры считают, что на данный момент общий уровень работы проактивных методов (в мире, если хотите) настолько высок, что его обязательно нужно включать в продукты. Ибо и без проактивной защиты можно неплохо противодействовать реальным руткитам. На данный момент. В будущем ситуация будет меняться, т.е. проактивные методы выйдут на новый уровень - будут противодействовать большему проценту реальных неизвестных руткитов. Количество реальных руткитов на каждый из концептуальных руткитов тоже возрастёт. И потребность в проактивных методах защиты существенно возрастёт, т.к. без них будет много пропускаться.

Я делаю вывод, что Вы поверхностно ознакомились с моими сообщениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×