MyCity » Zaštita od zlonamernih programa -> Zaštitni programi » Antivirus test

Antivirus test

Napisano na dan: 26.9.2010
2

Antivirus test
Pagination Prethodna strana

Idi na vrh

Poslao: 27 Sep 2010 17:59
Idi na vrh
offline
  • helen1  Male
  • Anti Malware Fighter
    Rank 2
  • Master učitelj
  • Pridružio: 27 Avg 2005
  • Poruke: 8620
  • Gde živiš: Novi Beograd

Veljko ::Odlican programcic za ovu vrstu testa, hvala.
Hajde da se vratimo oko skeniranja na zahtev, postoji li neka kolekcija koja se negde moze preuzeti za ovu vrstu ispitivanja.

Ovde ti je niko nece dati, barem ne javno.

Mi smo sajt koji se bori protiv malwera, ne sirimo ga. Cak ni u istrazivacke svrhe. Smile



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Poslao: 27 Sep 2010 19:04
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

@Veljko
Hajde, kako mislis da ti posljem 50-60GB malwarea?
Hoces li proveravati svaki fajl da se licno uveris da je malware?
Kako ces kategorisati dodatne fajlove koji stizu uz malware (konfiguracione fajlove, temp fajlove itd)? Neki AV programi ih detektuju kao punopravan malware, dok drugi ne detektuju te nevazne fajlove koji sami po sebi ne mogu da ucine nikakvu stetu.
Sta ces sa nepotpunim fajlovima? Jedan od najcescih sistema sirenja crva i botova je TFTP protokol (trivial FTP) kod kojeg ne postoji nikakva kontrola tacnosti prenesenih podataka. Ne postoji cak ni trivijalna kontrola koja bi oznacavala da je prenos fajla zavrsen, tako da TFTP klijent prestaje sa downloadom nakon sto server par sekundi ne posalje nikakav podatak.
Odavde bude prilicno velik broj nefunkcionalnih primeraka koji se nisu kompletno skinuli.

Drugo, skeniranje kolekcije i ciscenje zarazenog sistema su dve toooootalno razlicite stvari. Aktivan malware koristi spregnute mehanizme da bi zastitio svoju egzistenciju na nekom kompu. Malware u kolekciji je glineni golub koji ceka odstrel. Najveci problem sa ovim testovima je sto niko nema vremena da zarazi komp sa hiljadu infekcija (jedna po jedna) i testira ciscenje, kolicinu nepovratno unistenih fajlova nakon ciscenja od fajl-infektora, koliko puta AV pri ciscenju ostavlja sistem u stanju u kojem vise ne moze da bootuje itd. itd.

Primerke za testiranje mozes naci na http://www.offensivecomputing.net/ ili da pratis liste na malwaredomainslist i da skidas primerke sa adresa koje se kod njih pojavljuju, ili pak da postavis neki svoj honeypot da lovi botove i crve itd. itd.



Poslao: 28 Sep 2010 18:40
Idi na vrh
offline
  • Pridružio: 09 Apr 2005
  • Poruke: 105

Napisano: 27 Sep 2010 21:04

Kada skinem sa offensivecomputing.net/ my collection u rar fajlu nema nicega. Ako neko zna neku lokaciju gde mogu skinuti neku kolekciju, neka mi posalje ne email igormiojkovic79@gmail.com. Hvala bobby za ove linkove.

Dopuna: 28 Sep 2010 18:40

Uspeo sam da pronadjem jednu kolekciju, interesuje me posto se radi o rar ekstenziji, odnosno zeleo bih da zarazim sistem xp na VMware masini, recite mi ako imate iskustva sa zarazavanjem kako je to najbolje uraditi, da li samo raspakovati fajl, ili recimo pokretati svaki virusni fajl ponaosob?

Poslao: 28 Sep 2010 18:43
Idi na vrh
offline
  • Pridružio: 02 Feb 2008
  • Poruke: 14018
  • Gde živiš: Nish

Zavisi od fajla. Obicno je raspakivanje i dvoklik dovoljan.

Znas li ti uopste generalno sta je npr virus, trojanac i crv; i koja je razlika izmedju njih? Sta je rootkit, spyware, adware, ...?

Poslao: 28 Sep 2010 18:56
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

RAR fajlovi imaju mogucnost enkripcije naziva fajlova, tako da se imena fajlova ne vide ukoliko samo zaviris u RAR fajl.
Ukoliko pokusas da ga raspakujes, onda ce ti traziti lozinku i raspakovati fajl kako treba.

Sto se tice virtuelnih masina - slaba ti je tu vajda posto dobar deo malwarea ume da prepozna da je pokrenut u virtuelnoj masini i odmah ce se ugasiti da ne bi mogao neko da analizira njegovo ponasanje.

Treba ti neki matori komp koji nije umrezen.
Treba ti onda image particije u cistom stanju.
Onda zarazis komp jednim malwareom i odradis svoje testove.
Onda vratis cist image na particiju pa odradis testove sa sledecim malwareom itd.
AV treba da je ugasen dok pokreces zarazu zato sto polazis od premise da je prvo nastao malware, a da je onda kasnije AV dobio definicije za njega kroz update. UZ ukljucen AV ni ne mozes da pokrenes malware ukoliko ga AV ima u bazi, tako da ti takav test isti kao i skeniranje pasivne kolekcije.

Ovo je ogroman i dosadan posao, te ti zato i kazem da je maltene uzaludan.

Sve ostale metode testiranja su nepravilne i neispravne.

Poslao: 28 Sep 2010 19:24
Idi na vrh
offline
  • Fil  Male
  • Legendarni građanin
  • Pridružio: 11 Jun 2009
  • Poruke: 16586

Veljko ::Dobio sam za zavrsni rad da uradim analizu rada antivirusnih programa i da napravim uporedne karakterstike istih, izbor je pao na comodo, avg, eset, avast i kaspersky.

Vidim, svi ti preporucuju neke profi stvari.

Pravo pitanje je koliko se toga trazi od tebe, koja je skola u pitanju i koliko je profesor upucen u te stvari? Ako profa bas "ne veze grana" o ovome, mozes i da odradis nesto skoro pa povrsno, gde ce svaki mali test izgledati kao boom. I koliko strana treba da bude? 10-20?

Poslao: 28 Sep 2010 20:39
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

@ThePhilosopher

Vidi u cemu je osnovni problem sa sakupljanjem primeraka - ko je taj koji je rekao da je fajl X maliciozan?
Svi koji rade ova popularna testiranja (tipa AV-comparatives) proglasavaju fajl za maliciozan onda kada ga odredjeni broj AV programa prepoznaju kao maliciozan ili kada ga neki "provereno dobri" AV prepozna kao maliciozan.

Recimo da imas tri maliciozna programa X,Y i Z, i imas tri referentna AV programa A, B i C uz ciju detekciju sastavljas kolekciju.
Program A prepoznaje X kao maliciozan.
Program B prepoznaje X i Y kao maliciozne.
Program C prepoznaje Y kao maliciozan.
Ukoliko se nastavi ovakav trend prepoznavanja i sa ostatkom skupljenih primeraka, onda imas ogroman broj Z fajlova koje ni jedan od tvojih AV programa nije prepoznao, imaces jedan program B koji ima odlicne rezultate, i imaces dva programa sa solidnim rezultatima.

Sta se desava sa primercima za koje imas potvrdu samo jednog programa? Hoces li ih uvrstiti u konacan izbor za test? Hoces li ih analizirati da bi se licno uverio da su maliciozni?
Sta se desava sa fajlovima koji su detektovani heuristikom? Hoces li i njih rucno proveriti?
Sta se desava sa fajlovima koji su detektovani generickim detekcijama na osnovu packera i slicne gluposti? Hoces li i njih uvrstiti u kolekciju za testiranje?

Ukoliko ides samo na sigurne fajlove, onda ces dobiti rezultate na kojima svi AV programi imaju odlicne rezultate.
Ukoliko rizikujes, i bez rucne analize uvrstis i one fajlove za koje nisi siguran, onda su rezultati tvog testa oborivi, tj. ne piju vodu.
Ukoliko pak imas znanja i resis da sve fajlove licno proveris, onda ce ti trebati sto godina za pripremu testa, i u momentu objavljivanja rezultata, tvoj test ce biti vec mator i irelevantan u odnosu na stvarnu situaciju u datom momentu.

Biranje primeraka malwarea za test (ukoliko ne nameravas da analiziras malicioznost svakog fajla rucno) je pristrasan posao, tj. ti favorizujes one AV programe na osnovu cije detekcije si primerak uvrstio u kolekciju za test.
Cak i tako, kolekcija se mora proveriti na prisustvo redundantnih fajlova, tj. na propratne fajlove nekog malwarea (konfiguracioni fajlovi, tekstovi, slike, zvukovi itd.)
Ja se jos secam kako je ewido skakako ko lud na pojavljivanje nekih tekstova medju fajlovima - on je detekciju nekih adware programa vrsio na osnovu teksta EULA-e koja je korisniku bila predstavljana pri instalaciji. Izdvojio sam takav tekst u obican tekstualni fajl - ewido je i dalje reagovao.
U svakoj kolekciji ima takvih fajlova.
Da spomenemo jos i NOD, koji skace na pojavljivanje USBNoRisk logova kod nas u Ambulanti.
OK, opisi koji imaju u toj bazi su u redu u ova dva slucaja, ali oni ne proveravaju u kom kontekstu se to pojavljuje cime ta detekcija postaje sporna ili false positive.


Joj, lepo sam rekao da o ovome mogu da pisem na 20 stranica...

Razmisljam kako da pomognemo decku, a da to bude koliko-toliko ispravno po nasim merilima.

Poslao: 28 Sep 2010 22:19
Idi na vrh
offline
  • Fil  Male
  • Legendarni građanin
  • Pridružio: 11 Jun 2009
  • Poruke: 16586

Ok je to sto ti pricas, to i jeste po merilima MC-a. Ali je pitanje sta je to po merilima profesora. Very Happy Na to sam mislio. Bolje neka decko objasni malo bolje sta se od njega ocekuje Wink

Ako postupa po merilima MC-a, ocekuje ga ne zavrsni rad nego doktorat Mr. Green

Poslao: 28 Sep 2010 23:04
Idi na vrh
offline
  • Pridružio: 09 Apr 2005
  • Poruke: 105

Ljudi nije bitno da bude profesionalno nesto previse, vec je cilj opisati date proizvode i napraviti razliku izmedju njih, sta jedan ima a drugi nema i...Takodje je potrebno uraditi test na zahtev kao i u realnom vremenu. I napraviti paralelu izmedju ovo proizvode-opisati tekstualno bez mnogo tabela i grafika. Pa ako neko naleteo na neki slican rad neka mi ostavi link ili eventualno posalje kako bih se lakse snasao. Uporedna analiza obuhvata opis interfejsa, detekcije na osnovu neke kolekcije....

Poslao: 29 Sep 2010 02:06
Idi na vrh
offline
  • Pridružio: 19 Nov 2009
  • Poruke: 209

To profesor ne zna koji anti virus da koristi, pa ce skontati na osnovu tvog testiranja da lakse padne odluka Very Happy

MyCity » Zaštita od zlonamernih programa -> Zaštitni programi » Antivirus test

Ko je trenutno na forumu
 

Ukupno su 767 korisnika na forumu :: 4 registrovanih, 0 sakrivenih i 763 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: bojank, havoc995, Kriglord, Leonov