MC test AntiVirusa

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ok, neka bude smanjenja za Test9 - prepoznavanje arhiva. Virus ne moze da deluje dok ne bude raspakovan.
Sta da se radi sa Test10?
Mislim da nemaju svi ideju sta su packeri, pa da razjasnim:
Svi znamo kako se kompresuje EXE fajl u ZIP arhivu. Zamislite sada sledece: UPX program zapakuje vas EXE, na pocetak arhive doda kod za raspakovanje i izvrsenje vaseg EXE-fajla. Rezultujuci fajl je opet EXE.
Kada startujete ovaj novi EXE, vas originalan fajl nece nigde biti raspakovan (ovo nije self-extract arhiva) vec ce se ukupan program 'podici' u memoriju, i onaj dodatni kod koji je UPX ubacio, u samoj memoriji raspakovati vas EXE i izvrsiti ga.
Postoje packeri koji nece ni raspakovati vas program u memoriji, vec ce napraviti interfejs izmedju vaseg spakovanog programa i OS-a.
Spomenuti UPX je OpenSource, i njega prepoznaju svi AV programi. Takodje je dobro podrzan i ASPack (komercijalan).
Ja sam sakupio ukupno 30 ovakvih packera, od kojih vecinu koriste samo ljudi koji prave trojance (sreca moja, pa znam gde da nadjem ove packere ).
Znaci, pakovan EXE je i dalje virus, i nema sanse zaustaviti ga ukoliko je vec startovan, jer ne postoje medjukoraci u ekstrakciji. Jedina sansa za korisnika je da ce AV prepoznati packer kojim je pakovan, i da ume to da raspakuje u cilju da nadje i proveri originalan EXE.
Dalje, posto je cilj packera da sto vise smanje EXE, iz njega izbacuju sve nepotrebne stvari: relocation table, Resources...
Ovo donekle i menja 'potpis' virusa, ali ni jedan AV program ne uzima ove delove EXE fajla za prepoznavanje, vec samo jezgro.

Kazite sada kako da tretiramo Test10?

Dopuna: 05 Maj 2005 13:00

@ZoNi
Testiran je Avast BART PE 2.0, i bice testiran AvastPro.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pa evo ovako...
Zasto se ovo gleda da ako neki ima manje u bazi, a otvara
vise pakera da se to racuna kao da je prepoznao 30000. Jednostavno,
antivirusni program treba posmatrati kao celinu, zajedno sa modulima za
raspakovanje i bazama.
A moze biti predmet drugog testa ko ima vise u bazi.

Jos nesto...bitno je reci u testu i koliko je MAJKROSOFT bio "zakrpljen" u tom slucaju...da nam se ne desi slucaj kao sa onim googkle-om

Na kraju...nije OK menjati postavku testa prema dobijenim rezultatima...napise se nacin testa, bodovanje...

ne znam, sto rece F-Sec, ne mogu dovoljno brzo da se udubim u sve detalje ovako opseznog testa...mozda je najbolje da ga uradite onako kako ste ga u pocetku i zamislili

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Za dalje informacije o exe-packerima pogledajte:
http://en.wikipedia.org/wiki/UPX
http://en.wikipedia.org/wiki/ASPack
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Da, Singy man je u pravu .... uradite kako ste zamislili pa kom obojci kom opanci... ovako mozemo do sutra

bice pisanija posle testa koliko hoces...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Samo smo testove utvrdili pre pocetka testiranja
O ocenjivanju raspravljamo danas.
Mozemo mi da ostavimo samo podatke sa testova, pa neka citaoci izvlace zakljucke. Pitanje je samo koliko zu citaoci obrazovani po ovom pitanju.
Zato sada utvrdjujemo ocenjivanje.

Jos jednom:
Arhiver = program koji ce vise fajlova da sklopi u jedan fajl (primer: TAR)
Kompresor = program koji ce da 'sabije' fajl
Exe packer = pakuje iskljucivo exe i dll fajlove, posle pakovanja ti fajlovi su i dalje izvrsni (sto znaci da ukoliko su virusi, i dalje su opasni)

ZIP, RAR, ARJ... = arhiver + kompresor = mora da se raspakuje da bi se nesto od sadrzaja startovalo
UPX, ASPack, FSG, NFO, ArmProtector... = exe packer ili exe crypter = opasnost

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bobby :: @ZoNi
Testiran je Avast BART PE 2.0, i bice testiran AvastPro.
ok, i to je nesto - ako se ne varam, oba Avasta (Home i Pro) koriste isti engine i iste definicije virusa...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ozbiljan test nema shta! ali vidim da ima problema sa testom 10..hmm shta vam je sad ciniti mislim da bi trebali da ostanete pri prvobitnom pravilniku za t10 !

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

i sta cemo posle objavljivanja rezultata?? svi preci na av koji ce najbolje proci ? hm hm

zasto menjati konja koji dobija trku ??
tih testova uvek ima na sve strane jedan kaze ovo drugi ono.

ne razumem ljude koji su toliko pasionirani AV -om da eto samo gledaju ako slucajno recimo kav postigne reultat recimo 94% a nod ili neki drugi nebitno 80 % e sad ajmo svi na onaj bolji.
znaci ako nemate problema a imate jednog avasta ,nortona ,pc cilin ......itd zasto da ga menjam zbog nekog testa???

ovakve teme imaju smisla samo za distributere , npr.kav distr.f-secure distr i ne znam koliko ih ima bez uvrede za druge, pa nek oni brane tamo neke stavke ili ne.

mene moj av jako lepo sluzi nemam ama nikakvih problema sa virusima,gamadima,spajevima i sl. nemam i logicno da cak ako moj av dobije ne znam kako lose ocene za sada ga ne menjam.a da neko ima toliko vaznih podataka na kompu da ce mu neki virus izbrisati sve to su izuzeci jako retki.
uostalom ako se i pojavi neki "gadan virus" nov nece ga prepoznati ni jedan AV.

pozdrav svima

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kada ce testovi biti dostupni nama ( ne testerima),i za koji ce se broja internet ogledala objaviti test?Da li je neki tester do sada imao problema,povecih i oko kog virusa?

P.S. Posto sam sve ovo procitao vidim da oko testova ima mnogio posla .Svaka cast momci i samo napred, iskreno se nadam dace sve ispasti kako treba

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ja bi samo zamolio autore testa da nishta ne menjaju. Izbacite rezultate testa onako kako ste i zamislili bez ikakvih promena. Ova stvar sa exe packerima i crypterima nije ni malo naivna.