Перейти к содержанию
sergey ulasen

Принципы работы ShadowServer ?

Recommended Posts

sergey ulasen

Наши пользователи (ВирусБлокАда) пару месяцев назад прислали интересную ссылку.

На тот момент наш детект составлял порядка 2%. Стали разбираться. Поиск внятного описания методики тестирования на сайте найден не был. Единственное то, что автор предлагает выслать ее по требованию. Стали писать письма автору. Ответы пришли нескоро. Оказалось, что у него закончился наш ключик, и он не обновлялся. К тому же использовались не самые оптимальные ключи сканера. Затем мы попытались затребовать методику тестирования. Прошла уже неделя, а ответа все нет.

На сегодняшний день результаты такие:

vendor detected total percent

F-Prot6 157955 161888 97.57%

DrWeb 157097 161888 97.04%

Norman 156823 161888 96.87%

VirusBuster 156587 161888 96.73%

Vexira 156547 161888 96.70%

NOD32 156295 161888 96.55%

McAfee 156273 161888 96.53%

Clam 155275 161888 95.92%

Avast 155159 161888 95.84%

AVG7 154455 161888 95.41%

AntiVir 139416 161888 86.12%

Panda 123738 161888 76.43%

VBA32 9614 161888 5.94%

F-Secure 9525 161888 5.88%

BitDefender 8410 161888 5.19%

Kaspersky 7995 161888 4.94%

Результаты этого теста явно не коррелируют с результатами какого-нибудь подобного теста.

Может кто-нибудь из вендоров знает что-либо про данный ресурс и сможет прояснить ситуацию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

да уж... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

В прошлом году уже поднималась данная тема здесь

Вопросы были такие же :) , предлагаю совместно как-то разобраться что к чему :rolleyes:

P.S. На ключ для Norton-а похоже тоже жаба задушила :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

мда... Без ключа у Vba32 многие настройки не доступны...

ps Сразу видно, на каких антивирусах ключей нет:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

текущая еженедельная ситуация:

vendor detected total percent

Norman 677479 710863 95.30%

F-Prot6 635303 710863 89.37%

VirusBuster 627116 710863 88.22%

Vexira 626503 710863 88.13%

DrWeb 625363 710863 87.97%

McAfee 624852 710863 87.90%

Avast 616955 710863 86.79%

Clam 610384 710863 85.87%

NOD32 608218 710863 85.56%

AVG7 604437 710863 85.03%

AntiVir 590143 710863 83.02%

Panda 489091 710863 68.80%

BitDefender 96864 710863 13.63%

F-Secure 96248 710863 13.54%

VBA32 95972 710863 13.50%

Kaspersky 94572 710863 13.30%

за год:

vendor detected total percent

AntiVir 21946586 22676950 96.78%

F-Prot6 20242600 21143747 95.74%

DrWeb 21268527 22458947 94.70%

Norman 20642017 22120817 93.31%

F-Secure 19367791 21006741 92.20%

NOD32 20314616 22677073 89.58%

Vexira 20311337 22677573 89.57%

AVG7 20276489 22677315 89.41%

McAfee 19967935 22677573 88.05%

Avast 19586040 22618219 86.59%

VirusBuster 18840309 22383293 84.17%

Kaspersky 16632126 22677573 73.34%

Panda 16331396 22666130 72.05%

BitDefender 16095392 22677519 70.98%

Clam 15477274 22677519 68.25%

VBA32 11829274 21612178 54.73%

Интригует - вот тебе и альтернатива av-comparatives с их миллионами сигнатур. Хотя кто и для чего делает - неизвестно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Касперский - 13%?

Ага, альтернатива...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×