Проверяем свою защиту на уязвимости

Тема в разделе "Тесты и рейтинги антивирусов от ru-sphere.ru", создана пользователем X-Shar, 14 мар 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Всем привет, предлагаю сюда выкладывать различные ликтесты и тестировать свою защиту на реакцию на новые угрозы…

    Что такое ликтесты и зачем они нужны ?

    Ликтесты – Это безвредные программы, которые предназначены специально для проверки защиты на различные уязвимости, такие например как внедрение вируса в доверенный процесс, dll-injection, обход файервола и т.д.

    Зачем это нужно ?

    Всё очень просто, сигнатурный анализ уже постепенно уходит в прошлое, хотя бесспорно он до сех-пор важен, НО обойти сигнатурный анализ может сейчас даже школьник, скачав на каком-либо Испанском сайте свеженький криптор, либо ещё проще заплатить 150-250 рублей профи и получите ПОЛНОСТЬЮ БЕСПАЛЕВНЫЙ ВИРУС, да-да именно такую смешную цену стоит крипт файла, причём многие за такую цену готовы предоставить обход некоторых проактивок, в целом доступно многим, правда ?

    ВАЖНО: Возможно некоторые программы (Ликтесты) будут палиться сигнатурно, т.е. до запуска, так вот сигнатурный анализ в этой теме мало интересует, тестируйте на запуск, если боитесь тестите на виртуалке !

    Итак начнём:

    1)Тест на обход файервола:

    CPIL Suite объединяет три отдельных теста, разработанных для тестирования исходящей защиты брандмауэра.
    Первый тест наиболее значительный, так как изменяет память ядра и выключает перехватчики брандмауэра перед тем как запустить Internet Explorer с измененными параметрами. Второй тест изменяет explore.exe в памяти, загружая DLL, которая пытается отправить данные через IE, запустив его с параметрами командной строки. Последний тест изменяет Windows Explorer и с помощью DDE-взаимодействия отправляет браузер по указанному адресу.

    Скачать здесь:http://www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/CPILSuite.zip

    2)Попытка отключить защиту:

    Смысл попытаться отключить так называемы перехватчики (hook), в этоге файервол если даже и среагирует, толку от этого будет мало, гы-гы ! ;)

    Качать здесь:www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/FPR.zip

    3) Этот тест переименовывает сам себя в iexplore.exe и под этим именем пытается передать данные с компьютера.

    Скачать здесь:http://www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/LeakTest.zip

    4) Смена идентификаторов процессов; Запуск доверенного процесса с параметрами.
    Ghost пытается скрыть свое присутствие в системе, постоянно изменяя свой PID. Это делается с помощью запуска, закрытия и перезапуска процесса. Многие брандмауэры неспособны противостоять подобной постоянной смене идентификаторов для конкретного процесса и просто-напросто позволяют ему работать, будучи непроверенным.

    Качать здесь:http://www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/Ghost.zip

    5) Внедрение компонентов.

    Jumper, наряду с некоторыми другими ликтестами, был создан известным экспертом в области проактивной безопасности Гийомом Кадушем (Guillaume Kaddouch, gkweb). Тест закрывает запущенный в данный момент времени Windows Explorer (explorer.exe), изменяет параметры его запуска в реестре, чтобы при следующем запуске он запустил определенную DLL. Затем он запускает измененный Explorer с внедренной инородной DLL, которая направляет процесс на веб-сайт теста.

    Качать здесь: http://www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/Jumper.zip

    6)Кража данных через OLE:

    Ликтест PCFlank получает доступ к Internet Explorer через OLE-автоматизацию и с его помощью отправляет данные, которые ввел пользователь, на веб-сервер PCFlank. Если тест пройден успешно, то данные, вводимые пользователем, не будут отображены на странице, открываемой по окончании теста.

    Качать здесь:www.pcflank.com/PCFlankLeaktest.exe

    7)Подделываем браузер:

    Ликтест Runner находит исполняемый файл, принадлежащий веб-браузеру по умолчанию, переименовывает его, копирует себя на его место и называется его именем. Затем он запускает себя с подделанным именем, переименовывает, восстанавливает браузер по его оригинальному местоположению и запускает свою копию, наблюдая, сможет ли брандмауэр отследить все эти запутанные действия.

    Качать здесь:www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/Runner.zip

    8) Surfer создает скрытый рабочий стол и запускает на нем Internet Explorer. Затем с помощью DDE он контролирует его поведение и передает данные на удаленный адрес.

    Качать здесь: http://www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/Surfer.zip

    9)Внедрение в процесс:

    В отличие от внедрения компонентов, где инородная библиотека DLL имплантируется в доверенное приложение, данный тест внедряет в его память вредоносный процесс целиком. Thermite действует, внедряя всего себя в Internet Explorer, создавая новый поток и направляя скомпрометированный браузер на определенный веб-сайт.

    Качать здесь:http://www.matousec.com/downloads/windows-personal-firewall-analysis/leaktests/Thermite.zip

    Выкладывайте новые тесты и делитесь результатами теста, ТОЛЬКО НА ЗАПУСК ! :)

    Тестить всё-же советую на виртуалке !
     
    • Мне нравится Мне нравится x 12
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Похоже всем пофиг на эту тему, а зря !

    Что-бы продемонстрировать всю серьёзность этой темы, берём самый популярный антивирус, что-это у нас, все дружно сказали Касперский...

    Итак качаем свежую версию KIS-2014, которая весит аж 250 Мб !:Mem26:

    Ну да ладно скачали поставили, запускаем тесты...

    Результат плачевный, из 9-ти пройдено только три !ogo-go

    Вот по порядку скрины:

    1-ый тест:

    Test_Kis-1.

    3-й тест:

    Test_Kis-2-3.


    4-ый тест (Пройден):

    Test_Kis-4.

    5-ый тест:

    Test_Kis-5.

    6-й тест:

    Test_Kis-6.

    8-й тест (Пройден):

    8.


    9-ый тест(Пройден):

    KIS_9.

    Настройки были по умолчанию, такие настройки у большинства пользователей, результат честно говоря стрёмный и меня не впечатлил !ohmy88

    Какие тесты заблокировал пометил жирным, обратите внимание на 6-ой тест, где произошла утечка данных, два теста почему-то не запустились, ну будем считать, что заслуга капера, гы-гы !WinkSmile
     
    • Мне нравится Мне нравится x 10
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.178
    Симпатии:
    11.093
    Пол:
    Мужской
    Репа:
    +11.241 / 47 / -6
    Jabber:
    Skype:
    Ну а что я буду показывать?Первый тест,при нажатии на кнопку тест1-Оутпост спросил можно ли разрешить доступ к эксплорер доверенным приложением.Я разрешил и на этом всё больше никаких оповещений ни от теста ни от Оутпоста (тоже самое при нажатии тест2 и тест3),потом программка зависла и спросила закрыться или искать решение проблемы в интернете.Следующий тест не запустился-оповещений от защиты не было.По третьему тесту -Unable to connect,хотя Оутпост не рекомендовал его запускать.Четвёртый тест(Ghost)- пройден.Пятый тест-выскочила ошибка.Вот по шестому тесту-провал.Седьмой-не запустился.Восьмой-пройден.Девятый-окошко с надписью недопустимый дескриптор окна.
    Я эти тесты вчера пробовал.Может Оутпост что и спрашивал-я не помню.
     
    • Мне нравится Мне нравится x 9
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Следующий на очереде Eset Smart Security:

    Во время установки пытается установить всякие бары от яндекса, а потом вообще просит отправить СМС, гы-гы, как настоящий троян, правда от этого всего можно отказаться....

    Оставил настройки по умолчанию, результат примерно такой-же как и у каспера, за исключением срабатывания сканера как "Потенциально опасное ПО" на некоторые тесты, итак по порядку:

    1-ый тест, провал:

    ESS_Test1.

    2-й тест никакой реакции, непонятно, там поидеи отключение hook должны-быть, но я так и не понял сработало или нет...

    3-ий тест провал:

    ESS_Test2.



    4-ый тест сработал сканер, не даёт занести в исключение, это стрёмно, т.к. сканер даже не дал скачать, разбираться лень:

    ESS4.


    5-ый тест провал:

    ESS5.

    Гы-гы тут вообще прикольная ситуация произошла, сработал сканер на длл, зато нод позволел сделать Dll-injection в доверенный процесс, а именно explorer.exe, короче провал...

    6-й тест, утечка данных:

    ESS6.

    7-9 не стал тестить, т.к. сработал сканер...

    Результат тоже неахти !:Mem26:
     

    Вложения:

    • ESS4.png
      ESS4.png
      Размер файла
      17,5 КБ
      Просмотров:
      0
    • Мне нравится Мне нравится x 10
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    И последнее, вот комплексно можно проверить:http://download.comodo.com/securitytests/CLT.zip

    Из 34, нод проходит всего три !ogo-go

    Тестить всё-же советую на виртуалке !
     
    • Мне нравится Мне нравится x 8
  6. 0eck Заблокирован
    0eck
    Ответить в чате

    Заблокирован

    Регистрация:
    05.01.2013
    Сообщения:
    4.339
    Симпатии:
    17.573
    Пол:
    Мужской
    Репа:
    +17.638 / 20 / -26
    Windows 8x64 Pro
    Касперский кристал 250/340 Настройки максимальные
    2014-03-15_194911.
     
    • Мне нравится Мне нравится x 9
  7. Тёма Модератор
    Тёма
    Ответить в чате

    Форумчанин

    Регистрация:
    07.04.2013
    Сообщения:
    168
    Симпатии:
    315
    Пол:
    Мужской
    Репа:
    +322 / 0 / -1
    360 IS
    240/340
    Снимок.PNG
     
    • Мне нравится Мне нравится x 8
  8. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Видимо всё ещё зависит от настроек, я тестирую с настройками "По-умолчанию", KIS-2014 немножко получше чем нод эти тесты проходит, НО последний комплексный тест который я выложил не доходят до конца, а срабатывают какие-то поведенческие факторы и файл теста удаляется:

    Test_KIS.

    И лучше выкладывать html-страницу с результатами, а не просто цифры кто сколько пропустил, так будет понятно какие угрозы пропускают АВ !

    Это были тесты HIPS, а те которые в первом посте тесты файервола !My mind
     
    • Мне нравится Мне нравится x 9
  9. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    ESS7 Живая система, Windows 8.1-x-64 Enterprise. Настройки антивируса максимальные.
    2014-03-15_19-03-42. 2014-03-15_19-05-24.
     
    • Мне нравится Мне нравится x 10
  10. 0eck Заблокирован
    0eck
    Ответить в чате

    Заблокирован

    Регистрация:
    05.01.2013
    Сообщения:
    4.339
    Симпатии:
    17.573
    Пол:
    Мужской
    Репа:
    +17.638 / 20 / -26
    Нашел на youtube.
    Kaspersky vs Comodo Leak Test

     
    • Мне нравится Мне нравится x 9

Поделиться этой страницей