offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
- 33Ovo se svidja korisnicima: Ričard, ThePhilosopher, Simke, diarno, Sass Drake, CyberSrbin032, NIx Car, klodovik, Kentaurus, Peca, Springfield, Srki94, Brano, S.Stojkovic, argus, knell, goran9888, Rogi, bobby, dedak, Lorki, magna86, AleXa89, |_MeD_|, Dashke, m4rk0, mcrule, nemanja066, strucnjak96, A.L., TwinHeadedEagle, 11neco11, Black Code
Registruj se da bi pohvalio/la poruku!
Čemu sve ovo?
U idealnom cyber svetu bismo imali savršen zaštitni softver koji bi imao 100% nivo detekcije bilo kakvog zlonamernog koda pa se time isti nikada ne bi stigao izvršiti na računaru.
Takav, idealni zaštitni softver bi u tom slučaju trebao da ima samo jedan feature: detekciju malware-a.
No, u ovom našem malo manje savršenom cyber svetu, nivo detekcije koji naši programi postižu je osetno manji od 100%. Npr, u slučaju jednog crva koji se u trenutku pisanja ove teme širi relativno popularnim sajtom Facebook, nivo detekcije može biti i 0%.
Kako inficirati računar na kome je instaliran zaštitni softver?
Jedan način bi bio napisati malware koji neki AV neće detektovati. Ukoliko autor malware-a želi da inficira računar sa dva primerka malware-a, neophodno je da oba budu nepoznata antivirusu.
Drugi način je napisati malware čija je funkcija da bude "AV killer" - praktično, umesto da se računar inicijalno napada malware-om koji vrši neku konkretnu funkciju (npr. krađa šifri sa računara), maliciozni kod, kao osnovni cilj, ima isključivanje zaštite na računaru.
Sa isključenom zaštitom, računar je na vetrometini i moguće ga je inficirati bilo čime.
Ovo gore nameće potrebu za dodatnom mogućnošću zaštitnih programa - sposobnost samozaštite.
Cilj testa: eksperimentalnim putem pokazati sposobnost programa da se zaštiti od različitih tehnika napada na njegove procese, servise, drivere i datoteke na disku.
Korišćena tehnologija: set postupaka i softverskih alata sposobnih za vršenje različitih tipova napada na komponente ciljanog programa.
Testiranje: sastoji se iz četiri grupe ciljanih napada na različite komponente ili kombinacije istih.
Test grupa #1: napad na najotporniju user mode (korisnički režim) komponentu programa; praktično, cilj je isključiti proces koji pripada napadanom programu.
Testovi 1.01 - 1.12 predstavljaju napade iz korisničkog režima, a testovi 1.13 i 1.14 napade iz kernel mode-a (režim operativnog sistema).
Korišćene metode su zasnovane na:
1.01 TerminateProcess
1.02 WM_CLOSE
1.03 WM_QUIT
1.04 SC_CLOSE
1.05 TerminateThread
1.06 CreateRemoteThread -> ExitProcess
1.07 EndTask
1.08 DebugActiveProcess
1.09 EIP Modification -> ExitProcess
1.10 WinStationTerminateProcess
1.11 Injektiranje DLL-a u ciljani proces i pozivanje ExitProcess
1.12 Injektiranje killcode-a u drugi proces
1.13 ZwTerminateThread (kernel mode, driver based)
1.14 ZwTerminateProcess (kernel mode, driver based)
Test grupa #2: napad na najotporniju user mode komponentu programa; praktično, cilj je srušiti proces koji pripada napadanom programu.
Korišćene metode su zasnovane na:
2.01 VirtualProtectEx
2.02 WriteProcessMemory
Test grupa #3: napad na kombinaciju najotpornijih user i kernel mode komponenti programa; praktično, cilj je izvršiti fatalno oštećenje napadnutog programa korišćenjem što napada na jednu komponentu, što napada širokog spektra koji istovremeno ciljaju i user mode i kernel mode komponente programa.
3.01 Brisanje / preimenovanje instalacionog foldera iz Windows Explorera u bezbednom režimu rada Windowsa (Safe Mode)
3.02 Brisanje datoteka koje pripadaju najotpornijim user i kernel mode komponentama korišćenjem "Delete on reboot" (PFRO) - standardno brisanje (preciznije: premeštanje datoteka u "ništa") prilikom pokretanja Windowsa (izvršeno od strane samoga operativnog sistema)
3.03 Brisanje datoteka koje pripadaju najotpornijim user i kernel mode komponentama te onemogućavanje (bez direktnog zaustavljanja / brisanja) najotpornijeg servisa i drivera korišćenjem Native NT aplikacije (pokreće se pre Win32 podsistema - nakon inicijalizacije BOOT i SYSTEM drivera, a pre aktiviranja paging-a)
3.04 Brisanje najotpornijih datoteka, servisa i drivera korišćenjem drivera - test #1 (kernel mode, Windows je već pokrenut, servis/driver se brišu bez zaustavljanja)
3.05 Brisanje najotpornijih datoteka, servisa i drivera korišćenjem drivera - test #2 (kernel mode, prilikom boot-a, driver se briše bez zaustavljanja)
3.06 Brisanje najotpornijih datoteka, servisa i drivera korišćenjem drivera - test #3 (kernel mode, prilikom boot-a, disable/lock/nuke metoda iz više koraka)
Test grupa #4: napad na kombinaciju najotpornijih user i kernel mode komponenti programa; praktično, cilj je izvršiti fatalno oštećenje datoteka koje su kritičnog značaja za rad programa.
4.1 Oštećivanje direktnim pristupom disku - test #1
4.2 Oštećivanje direktnim pristupom disku - test #2
Princip odabira komponente koju treba napasti i tumačenje uspešnosti testa: pojedini programi pokreću veliki broj procesa, instaliraju mnogo servisa i drivera - u testu su pronađene i u obzir uzimane samo najotpornije komponente (datoteke, proces, servis, driver).
U pojedinim slučajevima je moguće narušiti funkcionalnost programa napadanjem sporednih komponenti (npr. GUI komponenta) i ponašanje različitih programa u toj situaciji se kreće od ignorisanja događanja na računaru do primene auto-block režima rada - uprkos ovoj činjenici, ipak nije tražena najslabija karika, već najjača. Pri ovoj odluci se vodilo logikom da će, na primer, kompanija čiji driver uspešno odbrani jedan proces daleko lakše da implementira zaštitu i svih ostalih procesa od one kompanije čiji driver uopšte ne štiti svoje procese.
Testno okruženje: MS Windows XP Professional SP3, 32 bit, disk formatiran u NTFS (instaliran unutar VMWare-a). Svaki testirani program je instaliran na imidž sveže instalacije OS-a, a pre svakog testa je učitavan imidž napravljen nakon instalacije programa.
Testirani programi: gde je bilo moguće korišćene su besplatne verzije programa, u ostalim slučajevima trial verzije. Pri ovoj odluci se vodih mišljenjem da ne (sme da) postoji razlika u sposobnosti samozaštite između besplatne i plaćene verzije programa.
Podešavanja programa: svi testirani programi su instalirani i korišćeni sa standardnim podešavanjima (praktično: bez izmena bilo kakvih opcija). U slučaju da je AV program pravio klasičan false positive na neki od korišćenih test programa, detektovana datoteka je ubačena u listu izuzeća AV programa. Kod programa koji poseduju module za prevenciju intruzije (HIPS), korišćenim test programima je u letu (prilikom pokretanja ili pojave upita o nekoj akciji) dozvoljavano neometano funkcionisanje. Mišljenja sam da ovo predstavlja real life situaciju i daje realnu sliku situacije "enemy vs. protector".
Napomena #1: primenjena je autocenzura - obzirom da ovaj članak nije zamišljen kao "kill AV tutorijal za lejmere", korišćeni programi neće biti navedeni, niti će se detaljno navoditi koje komponente su napadane i kojim testovima su poražene.
Napomena #2: neće biti navedena tabela u kojoj su programi rangirani po uspešnosti - cilj je ukazati na konkretne slabosti, a rezultate treba tumačiti posmatranjem kompletnog testa i performansi programa u različitim situacijama uzevši u obzir kompleksnost primenjenog tipa napada te sve ostale mogućnosti koje program nudi (jer: pravilno korišćen HIPS modul može da pokrije mnoge od primećenih slabosti, programi imaju različite nivoe detekcije, itd.)
Napomena #3: ovo je test tehnologije; nikako bilo kakva (anti)reklama ili (anti)preporuka; test je izveden u punom open minded stanju, u najboljoj nameri (po korisnika) i bez favorizovanja bilo kojeg programa.
Napomena #4: svi testovi su izvođeni na isti način, a rezultati su tumačeni prema istim kriterijumima - u potpunosti stojim iza iznesenih podataka (uz svesnost da sam možda negde napravio grešku tokom testiranja ili tumačenja onoga što sam video). U pojedinim slučajevima, gde mi se učinilo bitno/pogodno/zanimljivo sam dopisao komentar i/ili postavio screenshot - screenshotovi su pravljeni, a komentari pisani tokom testa (recimo: u afektu) stoga ih ne treba uzeti kao standardnu i namernu pljuvačinu po nekom programu.
Legenda: PASS - program se uspešno odbranio (u potpunosti ili mu je funkcionalnost bila minimalno uklonjena, a bio je sposoban da se popravi ili se popravio sam od sebe /reboot/); FAIL: neka (ili sve) od napadnutih komponenti nije odbranjena.
Ideja, odabir postupaka i realizacija: moja malenkost. Važi standardni disclaimer: svi navedeni stavovi su samo moji.
Po želji, moguće je testiranje i drugih programa.
******************************
Rezultati testa (abecedni redosled):
AhnLab V3 IS ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 FAIL
1.13 PASS
1.14 PASS
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Reakcija na (redom): 1.12, 3.02, 4.01.
avast! AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Posledica testa 3.01 (nakon promene imena folderu):
avast! ima "zanimljiv" pristup: kad njega neko upuca, on upuca Windows.
AVG AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Upgrade "ništa" u "ništa Pro"?
Avira AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 PASS
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
I should consider? I would, If you could.
BitDefender AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 PASS
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Autopilot? Je l' to ono kad furaš bez drivera?
But it's fine, there are no issues. LOL
BullGuard AV ::1.01 FAIL / PASS
1.02 FAIL / PASS
1.03 PASS / PASS
1.04 PASS / PASS
1.05 PASS / PASS
1.06 FAIL / PASS
1.07 PASS / PASS
1.08 FAIL / PASS
1.09 FAIL / PASS
1.10 PASS / PASS
1.11 FAIL / PASS
1.12 FAIL / FAIL
1.13 FAIL / PASS
1.14 FAIL / FAIL
2.01 FAIL / PASS
2.02 FAIL / PASS
3.01 FAIL / FAIL
3.02 FAIL / FAIL
3.03 FAIL / FAIL
3.04 FAIL / FAIL
3.05 FAIL / FAIL
3.06 FAIL / FAIL
4.01 FAIL / FAIL
4.02 FAIL / FAIL
Dodatna pojašnjenja: http://www.mycity.rs/Zastitni-programi/AV-test-samozastita_3.html#1250037
ClamWin AV ::1.01 FAIL
1.02 FAIL
1.03 FAIL
1.04 FAIL
1.05 FAIL
1.06 FAIL
1.07 FAIL
1.08 FAIL
1.09 FAIL
1.10 FAIL
1.11 FAIL
1.12 FAIL
1.13 FAIL
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Dr. Web AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 PASS
2.01 PASS
2.02 PASS
3.01 PASS
3.02 PASS
3.03 PASS
3.04 PASS
3.05 PASS
3.06 FAIL
4.01 FAIL
4.02 FAIL
Stanje nakon testa 3.05 (do narednog reboota, auto block aktivan, detekcija funkcionalna):
GData AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 PASS
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Kaspersky AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 PASS
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 PASS
3.04 PASS
3.05 PASS
3.06 FAIL
4.01 FAIL
4.02 FAIL
MS Security Essentials ::1.01 FAIL
1.02 PASS
1.03 PASS
1.04 PASS
1.05 FAIL
1.06 FAIL
1.07 PASS
1.08 FAIL
1.09 FAIL
1.10 PASS
1.11 FAIL
1.12 FAIL
1.13 FAIL
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 PASS
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
"You should"... Još kad bi moglo.
NOD32 AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 FAIL
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Maximum protection? Cccc. Da nije tužno, bilo bi smešno.
Norton AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 PASS
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Panda Cloud AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 FAIL
1.06 PASS
1.07 FAIL
1.08 FAIL
1.09 FAIL
1.10 PASS
1.11 FAIL
1.12 FAIL
1.13 FAIL
1.14 PASS
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Još jedan koji misli da treba da umlati Windows ako njemu neko dođe glave. Cloud security? Ili je zamagljenost od silnog pi*kinog dima?
Trend Micro AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 FAIL
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 FAIL
1.12 FAIL
1.13 PASS
1.14 PASS
2.01 FAIL
2.02 FAIL
3.01 FAIL
3.02 FAIL
3.03 FAIL
3.04 PASS
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Vipre AV ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 FAIL
1.09 PASS
1.10 PASS
1.11 FAIL
1.12 PASS
1.13 FAIL
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 PASS
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Webroot SecureAnywhere ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 FAIL
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 PASS
3.02 PASS
3.03 PASS
3.04 PASS
3.05 PASS
3.06 FAIL
4.01 FAIL
4.02 FAIL
******************************
Bonus test:
Comodo FW ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 FAIL
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 FAIL
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Emsisoft AM ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 FAIL
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 FAIL
3.04 PASS
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
GesWall ::1.01 FAIL
1.02 PASS
1.03 PASS
1.04 PASS
1.05 FAIL
1.06 FAIL
1.07 PASS
1.08 FAIL
1.09 FAIL
1.10 PASS
1.11 FAIL
1.12 FAIL
1.13 FAIL
1.14 FAIL
2.01 FAIL
2.02 FAIL
3.01 PASS
3.02 FAIL
3.03 FAIL
3.04PASS
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Slike 2 i 3: situacija nakon brisanja drivera.
Online Armor FW ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 PASS
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 FAIL
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Online Solutions Security Suite ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 PASS
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 PASS
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
Outpost SS ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 FAIL
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 FAIL
3.03 PASS
3.04 FAIL
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
ZoneAlarm FW ::1.01 PASS
1.02 PASS
1.03 PASS
1.04 PASS
1.05 PASS
1.06 PASS
1.07 PASS
1.08 PASS
1.09 PASS
1.10 PASS
1.11 PASS
1.12 FAIL
1.13 PASS
1.14 FAIL
2.01 PASS
2.02 PASS
3.01 FAIL
3.02 PASS
3.03 PASS
3.04 PASS
3.05 FAIL
3.06 FAIL
4.01 FAIL
4.02 FAIL
|