Kaspersky IS 2009 ˛& bugov tim experata (Bug) @ Bug.hr Forum

16 godina

neaktivan

offline

ned 15.2.2009 21:05

Odgovori Citiraj

Kaspersky IS 2009 & bugov tim experata

Temu započinjem zbog aluzije u zadnjem broju (195) buga kojom se posredno poručuje da vas Kaspersky Internet Security 2009 neće zaštititi od trojanaca koji kradu preslike ekrana, pa poštovani bugovci i ostali zainteresirani pogledajte dio preslike s ekrana (koju btw. nije skinuo trojanac već snagit )

Također Bugov tim nije niti spomenuo Kasperskijev HIPS (Host-based Intrusion-prevention system).

Imam primjedbe i na testiranje, čini mi se da je bilo bolje testirati "on-execution" na manjem broju malicioznih programa koje prepoznaje barem jedan od testiranih programa (by signature, ne by heuristic), time bi testiranje bilo potpunije...

mama ti je larva

Poruka je uređivana zadnji put ned 15.2.2009 21:08 ((s)izgoreo).

Moj PC

trajni link

0 0 hvala 0

bojanz

15 godina

neaktivan

offline

pon 16.2.2009 22:44

Odgovori Citiraj

RE: Kaspersky IS 2009 & bugov tim experata

(s)izgoreo kaže...

Temu započinjem zbog aluzije u zadnjem broju (195) buga kojom se posredno poručuje da vas Kaspersky Internet Security 2009 neće zaštititi od trojanaca koji kradu preslike ekrana, pa poštovani bugovci i ostali zainteresirani pogledajte dio preslike s ekrana (koju btw. nije skinuo trojanac već snagit )

Također Bugov tim nije niti spomenuo Kasperskijev HIPS (Host-based Intrusion-prevention system).

Imam primjedbe i na testiranje, čini mi se da je bilo bolje testirati "on-execution" na manjem broju malicioznih programa koje prepoznaje barem jedan od testiranih programa (by signature, ne by heuristic), time bi testiranje bilo potpunije...

Pozdrav (s)izgoreo,

Zahvaljujem na ovom - opcija za zastitu od screenshotova mi je promakla (na zalost, premalo je vremena za testiranje ovako velike grupe programa da bi se pohvatali svi detalji). Pohvalno je da su strucnjaci Kasperskog mislili i na ovo makar funkcija sama po sebi vjerojatno nije toliko korisna - naime, ako je trojanski konj dosao do faze da moze uzeti screenshot vjerojatno ga vise nista ne sprecava u onemogucavanju samog AV-a.

Sto se tice samog testiranja, slazem se i s tim. Inace, u okviru o VirusTotal servisu napisao sam da se rezultati detekcije ovog servisa ne mogu u potpunosti uzimati kao pouzdani buduci da detekcija pojedinog AV programa uvelike ovisi o okruzenju u kojem je maliciozni program pokrenut (npr. neki se AV programi integriraju s web preglednikom te tako omogucavaju detekciju malicioznih JavaScript i VBScript skripti, koje inace u "on demand" modu uopce ne detektiraju).

Ovakvo je testiranje, medjutim, dosta vremenski zahtjevno sto, na zalost, ovaj put nisam mogao napraviti ... mozda u slijedecem testu anti-virusnih programa bude nesto slicno, buduci da virtualizacija uvelike olaksava "simulaciju" pojedinih scenarija.

Pozdrav,

Bojan

trajni link nadporuka

0 0 hvala 0

Kalea

15 godina

neaktivan

offline

pon 16.2.2009 22:56

Odgovori Citiraj

Kaspersky IS 2009 ˛& bugov tim experata

Slažem se sa oba dva komentara. I drago mi je da nisam jedini korisnik SnagIt-a. Uvjeti pod kojima se testiraju antivirusni alati nisu dobri. Dobri su oni uvjeti kad u 3 ujutro imaš hrpu otvorenih prozora, a av uredno sve bilježi i briše.

Moj PC

trajni link

0 0 hvala 0

(s)izgoreo

16 godina

neaktivan

offline

pon 16.2.2009 23:19

Odgovori Citiraj

RE: Kaspersky IS 2009 & bugov tim experata

bojanz kaže...

(s)izgoreo kaže...

Temu započinjem zbog aluzije u zadnjem broju (195) buga kojom se posredno poručuje da vas Kaspersky Internet Security 2009 neće zaštititi od trojanaca koji kradu preslike ekrana, pa poštovani bugovci i ostali zainteresirani pogledajte dio preslike s ekrana (koju btw. nije skinuo trojanac već snagit )

Također Bugov tim nije niti spomenuo Kasperskijev HIPS (Host-based Intrusion-prevention system).

Imam primjedbe i na testiranje, čini mi se da je bilo bolje testirati "on-execution" na manjem broju malicioznih programa koje prepoznaje barem jedan od testiranih programa (by signature, ne by heuristic), time bi testiranje bilo potpunije...

Pozdrav (s)izgoreo,

Zahvaljujem na ovom - opcija za zastitu od screenshotova mi je promakla (na zalost, premalo je vremena za testiranje ovako velike grupe programa da bi se pohvatali svi detalji). Pohvalno je da su strucnjaci Kasperskog mislili i na ovo makar funkcija sama po sebi vjerojatno nije toliko korisna - naime, ako je trojanski konj dosao do faze da moze uzeti screenshot vjerojatno ga vise nista ne sprecava u onemogucavanju samog AV-a.

Sto se tice samog testiranja, slazem se i s tim. Inace, u okviru o VirusTotal servisu napisao sam da se rezultati detekcije ovog servisa ne mogu u potpunosti uzimati kao pouzdani buduci da detekcija pojedinog AV programa uvelike ovisi o okruzenju u kojem je maliciozni program pokrenut (npr. neki se AV programi integriraju s web preglednikom te tako omogucavaju detekciju malicioznih JavaScript i VBScript skripti, koje inace u "on demand" modu uopce ne detektiraju).

Ovakvo je testiranje, medjutim, dosta vremenski zahtjevno sto, na zalost, ovaj put nisam mogao napraviti ... mozda u slijedecem testu anti-virusnih programa bude nesto slicno, buduci da virtualizacija uvelike olaksava "simulaciju" pojedinih scenarija.

Pozdrav,

Bojan

Hvala na odgovoru, Ali da se osvrnem još jednom na kasperskoga, na ponuđenoj slici vide se neke "behavior blocker" funkcije koje mogu pomoći da se loader trojanca ne osjeća baš najbolje na stroju sa kasperskijevim ISom, vjerojatno ti je promakao i još jedan dio koji je integralni dio HIPSa vidi slike, koji skoro u potpunosti onemogućava loader da instalira trojanca...

Što se tiče testiranja u potpunosti se slažem s tobom, test valja obaviti u kontroliranim uvjetima (međutim čuo sam da pojedine napasti mogu detektirati da se pokreću u virtualiziranim uvjetima te potpuno obustaviti svoje maliciozne akcije), naravno što je veća mimika realnih uvjeta to bolje po rezultate testa...

HIPS

HIPS2

mama ti je larva

Moj PC

trajni link nadporuka

0 0 hvala 0

bojanz

15 godina

neaktivan

offline

pon 16.2.2009 23:40

Odgovori Citiraj

RE: Kaspersky IS 2009 & bugov tim experata

(s)izgoreo kaže...

Hvala na odgovoru, Ali da se osvrnem još jednom na kasperskoga, na ponuđenoj slici vide se neke "behavior blocker" funkcije koje mogu pomoći da se loader trojanca ne osjeća baš najbolje na stroju sa kasperskijevim ISom, vjerojatno ti je promakao i još jedan dio koji je integralni dio HIPSa vidi slike, koji skoro u potpunosti onemogućava loader da instalira trojanca...

Što se tiče testiranja u potpunosti se slažem s tobom, test valja obaviti u kontroliranim uvjetima (međutim čuo sam da pojedine napasti mogu detektirati da se pokreću u virtualiziranim uvjetima te potpuno obustaviti svoje maliciozne akcije), naravno što je veća mimika realnih uvjeta to bolje po rezultate testa...

Da, virtualizacija je dosta cesto problem jer je vrlo jednostavno detektirati da li je program pokrenut u virtualnom okruzenju ili ne.

Tako npr. Conficker, crv koji je strasno rasprostranjen cak i kod nas, jednostavno detektira da li je pokrenut u virtualnom stroju koristenjem te, ukoliko se radi o virtualnom stroju, ne poduzima nikakve aktivnosti, sto znaci da nece niti inficirati takvo racunalo.

No, o tom po tom, ima vremena do tog testa ...

Bojan

trajni link nadporuka

0 0 hvala 0

(s)izgoreo

16 godina

neaktivan

offline

pon 16.2.2009 23:51

Odgovori Citiraj

Kaspersky IS 2009 ˛& bugov tim experata

Istine radi, treba reći da se stupanj zaštite kod Kasperskog instaliranog na Windows XP i na Visti uvelike razlikuje, ljudi iz kasperskog "neoficijalno" kažu da je stupanj zaštite manji kod Viste radi Vistinog famoznog patch guarda i premalo dokumentacije za Vistin API, naime da bi se dobio logo od MSa "Certified for windows Vista" moraju se poštivati MS-ovi "naputci", zato npr. Comodo i TallEmu imaju puno bolje mogućnosti na Visti od nekih renomiranijih imena, jednostavno ne zanima ih logo niti certifikati.

Eee taj Mikrosoft...

P.S. Ovo se naravno ne odnosi na AV komponentu koja je potpuno isto funkcionalna na Visti kao i na XPu, već samo na HIPS

mama ti je larva

Poruka je uređivana zadnji put uto 17.2.2009 0:05 ((s)izgoreo).

Moj PC

trajni link

0 0 hvala 0