img - Xakep Online

More documents

Recommendations

Info

MALWAREdeeonis deeonis@gmail.comÝÊÑÊËÞÇÈÂÍÛÉÑÏÎÑÎÁ ÂÛÍÎÑÀÊÀÑÏÅÐÑÊÎÃÎINSIDEÊðàø-òåñòîòå÷åñòâåííûõàíòèâèðóñîâÑóðîâàÿ ïðîâåðêà ãðàíäîâ AV-èíäóñòðèè:ïîáåäèâøèõ íåò!Как обычно тестируют антивирусы? Прогоняют их на специальнозаготовленных зловредах, пытаются всячески обойти эвристику,выбраться из песочницы... Таких тестов полно в Сети, но в этот раз всебудет иначе. Мы будем проводить краш-тесты. Мы будем грубо ломатьи выводить из строя самые крутые аверские поделки и в итоге узнаем,кто из них оказался самым крепким.Сегодняшнее тестирование будут проходитьдве антивирусные программы. Первыйиспытуемый — Kaspersky CRYSTAL. ЭтоПО разрабатывалось специально для комплекснойзащиты пользовательского компьютера.В Кристале, помимо классическогосканера и резидентного проактивногомодуля, есть также средства родительскогоконтроля, шифрование данных, менеджерпаролей, которые для нас особой ценности078сегодня не представляют. Вторым кандидатомна уничтожение будет Dr.Web SecuritySpace Pro. Его функционал чуть беднее. Нетменеджера паролей, виртуальной клавиатурыи прочих полезных и не очень фич.Антивирус предназначен для комплексногопротиводействия интернет-угрозам в сочетаниис дополнительной защитой от сетевыхатак благодаря встроенному брендмауэру.Оба антивируса очень популярны в России,а Kaspersky еще и входит в мировую пятеркусамых продаваемых программ для защитыот зловредов.ПРИНЦИП ТЕСТИРОВАНИЯДля проверки антивирусов на прочность мыразработали пять собственных тестов. Некоторыетесты представляют собой специальнонаписанные программы, другие можновыполнить вручную с помощью стандартныхXÀÊÅÐ 08 /139/ 10
Кристалл запустился. Полет нормальный!Тайная деинсталляция закончилась обломомПотенциально опасная программа. Действительно,есть у нее такой недостаток.инструментов Windows. Кстати, все испытания проводятсяв Windows XP Professional SP3.За прохождение каждого теста будет выставлятьсяоценка по пятибальной системе — совсем как в школе.Единицы, конечно, мы никому ставить не будем, но изавышать баллы за способность к выживанию — не внаших правилах. В конце мы подсчитаем среднеарифметическоевсех оценок и посмотрим, кто оказалсясамым стойким.Теперь немного о самих тестах. Так как мы тут проводимне абы что, а краш-тестирование, то и испытания у насбудут соответствующие. Основная их цель — вывестииз строя антивирусное ПО как можно незаметнее дляпользователя. Если в результате выполнения того илииного теста защитные функции наших кандидатов«на уничтожение» перестали работать, то антивирьполучает жирную двойку. В противном случае мы будемсмотреть, как ПО справилось с проблемой. Если передсмертью ему удалось выдать какое-нибудь сообщение— начисляем трояк. Как уже было сказано выше,краш-тестов будет всего пять. Первый тест будет тупопытаться удалить самые важные бинарные файлы дистрибутиваантивируса. Но не просто удалить, а удалитьпри загрузке ОС с помощью специальной API-функции.Второй будет делать то же самое, но при этом еще ихитро шифровать имя удаляемого файла, чтобы антивирьне догадался, что его хотят стереть с практическисобственного жесткого диска. Третий тест, опять же,удаляет жизненно важные файлы, но при этом скрываетэто, маскируя вызов смертоносной API-функции подсовершенно безобидный код.Четвертое и пятое испытание стоят особняком, посколькубудут выполняться с помощью стандартныхсредств ОС Windows — никаких специальных утилитмы писать не будем. Разумеется, при желании всеэто можно реализовать и программно. Итак, один изтестов будет запрещать запуск антивируса посредствомполитик безопасности, а второй попробует деинсталлироватьПО без лишнего шума и пыли.Итак, когда мы немного разобрались с тем, что будемделать, приступим непосредственно к краш-тестам.ТЕСТ №1Первый тест будет производиться с помощью специальнонаписанной утилиты. В командной строке мы передадимей полное имя файла, который хотим удалить приследующей загрузке ОС. Программа вызовет системнуюфункцию MoveFileEx, которая может перемещатьфайлы и папки. Первый ее параметр — это полное имяперемещаемого файла, второй — куда будем перемещать,а третий — флаг, который задает некоторые опцииперемещения. Если второй параметр оставить пустым,то есть передать NULL вместо строки с новым местомхранения, а в качестве флага установить значениеMOVEFILE_DELAY_UNTIL_REBOOT, то нужный нам файлбудет удален во время загрузки ОС.Все просто. Всего одна функция, и никакого хитроумногокода. Такую утилитку может написать даже учениксредней школы. Теперь проверим, как она подействуетна наши антивирусы. Первым по списку идет KasperskyCRYSTAL. Если посмотреть в менеджер процессов,то мы увидим, что Каспер два раза запустил avp.exe.Одна копия запущена с системными привилегиями, аWARNINGwarningНе используйнелицензионныеверсии антивирусовв своем сервисе и нехостись в России.INFOinfoRESPECTГруппе И-3-1(ПрикладнаяМатематика) МГТУ«Станкин».DieHard, YaesU, metalAsechka.Ru communityXÀÊÅÐ 08 /139/ 10 079
Page 1:
ВЗЛОМ АУТЕНТИФИКАЦ
Page 4 and 5:
MegaNews004 Все новое за
Page 6:
MEGANEWSМАРИЯ «MIFRILL» НЕ
Page 10 and 11:
MEGANEWSÈÇÐÀÈËÜ ÂÅÐÁÓÅ
Page 13 and 14:
Реклама11
Page 15 and 16:
ÑÏÅÖÑËÓÆÁÛ ÑØÀ ÍÅÃ
Page 17 and 18:
ÓÒÅ×ÊÀ ÑÅÊÐÅÒÍÎÉ È
Page 19 and 20:
с помощью специаль
Page 21 and 22:
Pro3Q QOO!TOWER ION9400 ðóá.ÒÅ
Page 23 and 24:
VIEWSONICVOT120 PC MiniÒÅÕÍÈ×
Page 25 and 26:
codinglotus.xakep.ruX-testing сont
Page 28 and 29:
PC_ZONEСтепан «Step» Иль
Page 30 and 31: PC_ZONEВносим важные п
Page 32 and 33: PC_ZONEАлександр Лозо
Page 34 and 35: PC_ZONEПример асинхро
Page 36 and 37: PC_ZONEКапитан Улитка
Page 38 and 39: PC_ZONEПодробные логи
Page 40 and 41: ВЗЛОМТюрин «GreenDog»
Page 42 and 43: ВЗЛОМ//Èùåì ñòðîêóif
Page 44 and 45: ВЗЛОМАлексей Синцо
Page 46 and 47: ВЗЛОМAcrobat Reader. Эксп
Page 48 and 49: ВЗЛОМЭтого достато
Page 50 and 51: ВЗЛОМИз ARP-сообщени
Page 52 and 53: ВЗЛОМANTI-NATO natobreak@yahoo
Page 54 and 55: ВЗЛОМНет, конечно,
Page 56 and 57: ВЗЛОМЗазеркалье —
Page 58 and 59: ВЗЛОМ«HellMilitia» and «my
Page 60 and 61: ВЗЛОМXOR_KEY, между пр
Page 62 and 63: ВЗЛОМRAZ0R HTTP://RAZ0R.NAMEП
Page 64 and 65: ВЗЛОММаг icq 884888, http:/
Page 66: ВЗЛОММой шелл на azar
Page 69 and 70: Результат переполн
Page 71 and 72: Описание:access violation
Page 73 and 74: ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 75 and 76: Граббер сайтовНакр
Page 77 and 78: Разбор вывода анти
Page 79: Реклама
Page 83 and 84: Зачем и почему нужн
Page 85 and 86: ÔÓÒÓÐÈÑÒÈ×ÍÛÉ ÑÈÍÃ
Page 87 and 88: них мы, конечно, не
Page 89 and 90: в понедельник вот п
Page 91 and 92: Выбор режима работ
Page 93 and 94: Все вспомогательны
Page 95 and 96: Реклама
Page 97 and 98: WARNINGwarningРедактируе
Page 99 and 100: Оптимизируем работ
Page 101 and 102: WARNINGСокращенная ст
Page 103 and 104: ldd для Firefoxне в них.
Page 105 and 106: Реклама
Page 107 and 108: codingMasterBotBotBotСхема ц
Page 109 and 110: codingINFOРезультат раб
Page 111 and 112: codingФорма HoldemConsoleФо
Page 113 and 114: codingÑàéòû ïî òåìåПр
Page 115 and 116: codingАдреса загрузки
Page 117 and 118: CODINGdeeonis deeonis@gmail.comКО
Page 119 and 120: поймать в месте выз
Page 121 and 122: ëà äëÿ «Îäíîêëàññí
Page 123 and 124: ñîäåðæàùèå çàïðåùå
Page 125 and 126: FORWARD="80>192.168.0.100" â ôà
Page 127 and 128: OpenBSD, pf и NATîòêðûòûé
Page 129 and 130: SYN/ACKЕвгений Зобнин
Page 131 and 132:
Apache с различными MPM-
Page 133 and 134:
Слоеный пирог типи
Page 135 and 136:
×òîáû óñòàíîâèòü vSp
Page 137 and 138:
INFOКлиент управлени
Page 139 and 140:
информацию с перер
Page 141 and 142:
Если хочешь быть пр
Page 143 and 144:
обновляемого на са
Page 145 and 146:
x№ 08(139)АВГУСТ 2010>>WIND
show all

img - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?