Тест Опыт запуска вирусов с активной защитой SySWatch

Тема в разделе "Тестирование ПО", создана пользователем CodeMaster, 2 ноя 2011.

Статус темы:
Закрыта.
  1. CodeMaster
    Оффлайн

    CodeMaster Пользователь

    Сообщения:
    12
    Симпатии:
    3
    Добрый день, друзья. Решил открыть эту тему, чтобы обсудить идеи по поводу стабильности и надёжности продукта SafenSoft. Сразу хочу оговориться - я не настроен враждебно к этому продукту, и даже не скептически. Некоторое время пользовался ним и был доволен, но вот совсем недавнее событие (мой личный эксперимент) заставил меня задуматься, и получить ответы на мои вопросы. Значит коротко о моём эксперименте - всё очень просто, я скачал архив в вирусами (около 100 штук), просмотрел все настройки SysWatch, чтобы везде была активна защита, но единственное что я сделал - отключил антивирусный модуль (задачей было проверить успешность проактивной защиты). После этого запустил на выполнение пару вирусов из архива. SysWatch сообщил мне о подозрительных действиях, я везде отказывался от выполнения, тем не менее спустя короткое время программа зависла, мне пришлось перезагружать компьютер через Reset, но комп больше не загрузился - вирусу удалось что то сделать в системе и навредить загрузке. Система у меня Windows XP SP3. Решил повторить опыт - заново переустановил систему, на чистую систему установил продукт SysWatch Deluxe и снова запустил тот же вирусный файл. Результат одинаков - защита не справляется. Мой вопрос к специалистам - пожалуйста, если найдёте минутку свободного времени, разъясните мне принцип действия проактивной защиты. В моём понятии это так - есть такая вещь как антивирус и есть понятие проактивной защиты. Антивирус ищет во всех исполняемых файлах сигнатуры вредоносного кода, если находит то сигнализирует об угрозе/лечит/удаляет. Проактивная защита как я понимаю не нацелена на лечение от вирусов и их обнаружение, а призвана не позволить выполняющейся программе нанести вред системе. То есть защищаются критически важные системные файлы, ветки реестра, области автозагрузки и так далее. Тогда объясните, каким образом вирус смог так легко завесить SysWatch и сделать после этого невозможной загрузку компьютера ?
     
    1 человеку нравится это.
  2. onthar
    Оффлайн

    onthar Активный пользователь

    Сообщения:
    31
    Симпатии:
    63
    Вот был бы еще файл опубликован, тогда можно о чем-то вместе думать, а так - непонятно.

    Вообще и винлокеры одно время были (те, которые через калькулятор запускались), которые обходили проактивные защиты, обходились кис, комодо, аутпост.

    Казалось бы, что спустя 8 месяцев в новых версиях этих продуктов должны были учесть провалы, но нет, не так давно проверил - при настройках по умолчанию должной реакции не обнаружил.

    Бросьте Ваш файл в личку, интересно поглядеть, что это.
     
    1 человеку нравится это.
  3. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Как я понимаю проактивная защита должна заточена на обнаружение подозрительных действий (возможно блокировка процесса \ ПО ) и подключение антивируса к анализу данного запущенного ПО. По крайней мере я бы такой функционал реализовал бы в проактивной защите.
     
    1 человеку нравится это.
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Публиковать в теме не нужно хватит отчета на www.virustotal.com

    Файл можно прислать так

    Добавлено через 35 секунд
    Файл запускался изначально в песочнице или как доверенный?
     
    1 человеку нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CodeMaster,
    Это не вирус "завесил", а вы сами. Вирус не имеет разума, он действует в рамках дозволенного, а вы разрешили ему ВСЁ.

    Смотрите по пунктам:

    Вы сознательно скачали где-то архив с вредоносами и отключили антивирусный модуль.
    Вы сознательно запустили на выполнение вредоносное содержимое архива.
    Вы сознательно игнорировали контроль запуска неизвестного приложения.
    Вы сознательно игнорировали возможность запуска вредоноса в ограниченной среде.
    Вы сознательно разрешили потенционально опасные действия приложения.
    Вы сознательно разрешили эксплуатацию уязвимостей вредоносным приложением.
    Вы сознательно игнорировали контроль активности приложений.
    Вы сознательно или по незнанию не использовали все возможности системы самозащиты SafenSoft SysWatch.
    Вы сознательно разрешили вредоносам внесение собственных изменений в систему.
    Вы сознательно разрешили доступ к системным файлам и данным пользователя.
    Как следствие, вы полностью нарушили работоспособность системы.
    Более того, вы сознательно повторили этот эксперимент над самим собой.

    Ещё более того, вы зря потратили время на эксперименты над собой, не ознакомившись прежде с технологией проактивной защиты VIPO, лежащей в основе SafenSoft SysWatch.

    Читайте о технологии VIPO здесь: Проактивная защита. Технология проактивной защиты компьютера SafenSoft.
    Подробности, скриншоты и полное руководство входит в дистрибутив программы.

    Всё познаётся в сравнении...

    Даже у банального утюга есть инструкция по пользованию и мерам безопасности. Вот товарищ в спойлере ниже её тоже не читал, в результате лишился своего уха.
    [​IMG]


    ...Однажды внезапное наводнение затопило всю деревню. Все жители погибли.
    Только один человек, всегда говоривший, что верит в Бога, спасся на крыше своего дома.
    И вот сидит он на крыше, ждёт спасения. Вода прибывает и уже подступила к карнизу крыши.
    Летит вертолёт, мужика заметили и спустили лестницу: "Цепляйся, мы тебя спасём!"
    Он им отвечает: "Нет, улетайте, меня Бог спасёт! Я всё жизнь молился ему о спасении".
    Улетел вертолёт... А вода всё прибывает.
    На следующий день проплывает мимо корабль, ему спускают трап: "Залезай, мы тебя спасём!!"
    Он им отвечает: "Уплывайте, меня Бог спасёт! Я всё жизнь молился ему о спасении".
    Уплыли... А вода всё прибывает и уже затопила бедолагу по пояс.
    На следующий день перед ним всплывает подводная лодка, моряки высыпали на палубу, суют ему руки: "Мужик, давай руку, спасайся, погибнешь!!!".
    Бедолага уже почти весь в воде, отмахивается от них рукой и захлёбываясь водой хрипит: "Нет... уйдите... меня... спасёт... Бог!"
    Уплыла подводная лодка. Утонул мужик...
    Позже уже в раю он видит перед собой Господа Бога и пытается упрекнть его в том, что он его не спас, хотя он всю жизнь молился о спасении.
    Бог ему отвечает: "Глупец, а как ты думаешь, кто посылал тебе вертолёт, корабль и подводную лодку?.."
     
    8 пользователям это понравилось.
  6. CodeMaster
    Оффлайн

    CodeMaster Пользователь

    Сообщения:
    12
    Симпатии:
    3
    спасибо что откликнулись на мой запрос. Во первых, для тех кто хочет потестить защиту, вот ссылка на тот архив, из которого я запускал вирусы на выполнение


    Во вторых, хочу полностью согласиться с некоторыми пунктами из перечисленного:

    а именно:
    Вы сознательно скачали где-то архив с вредоносами и отключили антивирусный модуль.
    Вы сознательно запустили на выполнение вредоносное содержимое архива.

    есть и пункты, в которых меня обвинили но с которыми я не согласен, вот они:
    Вы сознательно игнорировали контроль запуска неизвестного приложения.
    Вы сознательно игнорировали возможность запуска вредоноса в ограниченной среде.
    Вы сознательно разрешили потенционально опасные действия приложения.
    Вы сознательно разрешили эксплуатацию уязвимостей вредоносным приложением.
    Вы сознательно игнорировали контроль активности приложений.
    Вы сознательно или по незнанию не использовали все возможности системы самозащиты SafenSoft SysWatch.
    Вы сознательно разрешили вредоносам внесение собственных изменений в систему.
    Вы сознательно разрешили доступ к системным файлам и данным пользователя.
    Как следствие, вы полностью нарушили работоспособность системы.

    к сожалению мой пост был прочитан невнимательно (либо же я слишком плохо сумел выразиться, за что извиняюсь), потому как я писал:
    "После этого запустил на выполнение пару вирусов из архива. SysWatch сообщил мне о подозрительных действиях, я везде отказывался от выполнения, тем не менее спустя короткое время программа зависла" - т.е., во первых я конечно же эти вирусы запускал в ограниченной среде, выбрав соответствующий вариант ответа, во вторых я чётко написал - Я ОТКАЗЫВАЛСЯ ОТ ВЫПОЛНЕНИЯ (имел ввиду отказывался от выполнения вредоносной программой злых действий), но тем не менее система повисла после нескольких таких выборов варианта отказа( чтобы не было в будущем вопроса так от чего же я таки отказывался, разьясню подробнее - я нажимал кнопку "Запретить" и указывал галочку "на сессию", таким образом я не позволил программе выполнить ни одного вредоносного действия.
     
    Последнее редактирование модератором: 7 ноя 2011
  7. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    CodeMaster,
    Чтобы вас понимали правильно! Нужно всегда точно выражать свои мысли, если с этим проблема , то хотя бы действия.
    А то всегда будет получаться :

    Хотели как лучше , а получилось как всегда!(с) :D
     
    1 человеку нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CodeMaster Так это всё-таки была какая-то программа или зловредный вирус? :)

    iskander-k прав. Вы так старательно и досконально всё описали, но каким-то образом не озвучили факт использования песочницы. В конечном итоге это почти ничего не меняет, т.к. она тоже выполняется в среде Windows, которая у вас того...

    Вы пишете, что у вас "зависла программа SafenSoft SysWatch"...
    Каким образом вы это определили, если нажали на Reset? Любая программа состоит из файлов разного типа и они сами по себе не могут зависнуть, т.к. в своей совокупности составляют приложения, которые выполняются в среде Windows. Потому их и называют ПРИЛОЖЕНИЯМИ. А эту самую Windows вы позволили заразить по всем статьям.

    Вы пишете, что вас обвинили в том-то и том-то...
    Полноте, я не прокурор и не судебный обвинитель, чтобы обвинять кого-то в чём-то.
    Вы спросили, а я ВСЕГО ЛИШЬ подробно расписал те действия, которые вы изволили не совершить, а допустить. Извольте почувствовать разницу между этими понятиями. :)


    Обвинитель тут сказал бы, что "незнание законов не избавляет от ответственности", а я скажу, что незнание (или непонимание) технологии проактивной защиты VIPO чревато теми последствиями, которые вы умудрились допустить.

    Почему я написал слово СОЗНАТЕЛЬНО?
    Поясню. Уж никакого враждебного настроя здесь точно не было.

    Глядите, Вы сами пишите, что:
    - пользовался им и был доволен...
    - скачал архив с вирусами...
    - отключил антивирусный модуль...
    - запустил на выполнение пару вирусов...
    - SysWatch сообщил мне о подозрительных действиях...
    - я везде отказывался от выполнения...

    Все эти действия раскрывают в вас пользователя, который всё-таки ОСОЗНАВАЛ к чему может привести проникновение в систему вирусов. Какой бес дёрнул вас всё испортить?!

    Если вас шокирует слово СОЗНАТЕЛЬНО в остальных пунктах "обвинения", то, извольте, я поправлю в них СОЗНАТЕЛЬНО на БЕССОЗНАТЕЛЬНО (вот и БЕС нашёлся!) или по незнанию:

    Вы бессознательно или по незнанию...

    ... игнорировали контроль запуска неизвестного приложения
    ... игнорировали возможность запуска вредоноса в ограниченной среде
    ... разрешили потенционально опасные действия приложения
    ... разрешили эксплуатацию уязвимостей вредоносным приложением
    ... игнорировали контроль активности приложений
    ... не использовали все возможности системы самозащиты SafenSoft SysWatch
    ... разрешили вредоносам внесение собственных изменений в систему
    ... разрешили доступ к системным файлам и данным пользователя

    И как следствие, вы всё равно полностью нарушили работоспособность системы.

    Почему я перечисляю этот список?
    Сейчас скажу. Вы прочитали вендорское описание технологии VIPO? Изучили информацию на картинке?

    Обратите там внимание на красные пунктирные линии. Они наглядно показывают то, чем чреват отказ от того-то и того-то. Именно эти пункты я описал в пояснении, которое вы сочли обвинением. :)

    Более того, Вы не использовали настраиваемые функции самозащиты программы, а это не только защита паролем. И вы, похоже, вообще не слышали о таких возможностях, раз не использовали и не упомянули их. Ознакомьтесь пожалуйста. :)

    Вам ещё повезло, что этот вирус не стёр всю информацию на диске. В другой раз всё может быть иначе. Хотя вам, видимо, всё равно, т.к. вы её попросту не цените и оперируете по собственным понятиям...

    Ну ладно, флаг Вам в руки. Создайте своё приложение проактивной защиты, которое переживёт армагеддон, т.е. выживет даже тогда, когда умрёт сама Windows со всеми другими приложениями и файлами пользователя.

    Добавлено через 3 минуты 21 секунду
    CodeMaster
    Но прежде, пожалуйста, почитайте руководство пользователя. Найдёте много интересного.
     
    1 человеку нравится это.
  9. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    CodeMaster, знаете, у меня простой оутпост бесплатный.. и однако скачав недавно приложение с креком, очень меня интересующее, фаер тот час заблокировал попытку изменить файлы или ключи инициированную какой то dll кой из папки с данным приложением.. не надо быть семи пядей во лбу чтоб понять, если я не успел еще запустить на выполнение программу а она уже пытается делать критические изменения, то это 99,99% что зловред. итак фаер заблокировал я удалил и моя система жива и чиста.. анализ вредоносного кода показал неизвестную на тот момент модификацию даунлоадера..
    Теперь что сделали вы, скачали запустили дали внести критические изменения. а после жалуетесь что у вас что то не работает...
    Или вы не знаете что нет абсолютной защиты иной, чем прямые рук пользователя?? никакое АВ ПО не защитит вас если вы самостоятельно разрешаете зловредам выполнение и блокируете действия защиты.
     
    2 пользователям это понравилось.
  10. CodeMaster
    Оффлайн

    CodeMaster Пользователь

    Сообщения:
    12
    Симпатии:
    3
    спасибо, но я извинился за то, что неправильго выразился

    далее.
    это был вирус, из того архива который я скачивал, но поскольку вирус это программа (надеюсь ни у кого нет в этом сомнений :) ), так его и обозвал.

    программа перестала отвечать, я не мог вызвать окно с её интерфейсом (например из значка в трее), а на экране было зависшее сообщение с запросом действия, которое не позволяло в нём что либо нажать

    когда написал слово "обвинили", выражался конечно же образно (шуточно) и никогда б не подумал что это вызовет вопросы :)


    верно на все 100% ! конечно же я всё это осознавал! Но давайте попробую на очень простом примере объяснить почему я так делал. Представим что вы - человек выпускающий щиты. А я покупатель, пришедший к вам и желающий приобрести щит. И вот я его беру в руки, прикрываю ним себя, и прошу кого нибудь из вашей компании ткнуть меня мечом например. В итоге меч пробивает щит, и меня ранит. Но какова ваша реакция ? я вижу ваши большие квадратные глаза и восклицание - ТАК ВЫ ЖЕ ПОНИМАЛИ ЧТО ДЕЛАЕТЕ! ВЫ ЖЕ ЗНАЛИ ЧТО МОЖЕТ БЫТЬ ОТ УДАРА МЕЧОМ ????!!!! вот точно так и сейчас, я сделал попытку проверить защиту на прочность, а все остальные или не понимают или делают вид что не понимают моих действий :)


    извините, но сложилось впечатление что вы совсем не читали моих предыдущих постов, хотя их было немного :)
     
  11. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    CodeMaster, перечитал.. как я вас понимаю вы удивлены что программное обеспечение которое должно было вас защитить не защитило после того как вы запустили вирус и блокировали попытки АВ ПО должным образом обработать данный зловред, я верно вас понял???
     
  12. CodeMaster
    Оффлайн

    CodeMaster Пользователь

    Сообщения:
    12
    Симпатии:
    3
    неверно. Поясняю



    говоря простым языком - я удивляюсь тому что я выполнял все действия так, чтобы не позволить вредоносному коду нанести вред системе, тем не менее защита не сработала.
     
  13. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    Цитирую из вашего первого поста:
    SysWatch - сообщил о атаке вашей системы, далее не совсем понятно от выполнения чего вы отказались? От последующих предложений проактивной защиты по защите вашей системы или каких-то иных действий, поясните.
    вот если-б каждый зловред сообщал о том что он творит в системе... :))
     
    Последнее редактирование: 5 ноя 2011
    ScriptMakeR нравится это.
  14. CodeMaster
    Оффлайн

    CodeMaster Пользователь

    Сообщения:
    12
    Симпатии:
    3
    поясняю, но вы впринципе во второй части своего сообщения ответили на свой же вопрос - я отказывался от выполнения вирусом деструктивных действий, более того, можно сказать я вообще отказывался ото всех действий которые вирусная программа хотела выполнить. Всё это делал после запуска программы в ограниченном режиме.

    Могу лишь сказать свои предположения, почему зависла SysWatch - вирус который я запустил на выполнение из скачанного архива создал в пямяти очень много своих копий, и каждая из этих копий хотела что то делать, возможно защита как бы зациклилась и потому зависла. Но ещё раз повторю - это лишь предположение :)
     
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    Допустим.... вирусная программа вам и сообщила о предполагаемых действиях в вашей системе, а вы не допускаете, что о "некоторых действиях" с вашей системой она и не сообщала вам :)

    В следующий раз лучше проводите такие проверки на виртуальной системе,...пожалейте обычную ;-)
     
    Последнее редактирование: 5 ноя 2011
    1 человеку нравится это.
  16. CodeMaster
    Оффлайн

    CodeMaster Пользователь

    Сообщения:
    12
    Симпатии:
    3
    золотые слова. Вот по этой причине я и открыл тему эту, и хотел бы получить ответы на свои вопросы. Пользуясь продуктом SysWatch я хочу быть уверенным в том, что АБСОЛЮТНО ВСЁ что хочет сделать вредоносная программа будет защитой замечено и предотвращено (в конкретном случае предложено мне принять решение)
     
  17. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    в этом мире НЕ ВОЗМОЖНО НИ КОГДА....
     
    ScriptMakeR нравится это.
  18. CodeMaster
    Оффлайн

    CodeMaster Пользователь

    Сообщения:
    12
    Симпатии:
    3
    тогда пусть разработчики SysWatch это признают, и я попробую поискать другой программный защитный продукт. Понимаю что он тоже возможно не будет защищать так как хочу, но хотелось бы сравнивать и выбирать :)
     
  19. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Некоторые действия зловредов вполне легальны И НИкакая антивирусная защита не запретит их выполнение. И не запросит ваше разрешение - иначе вместо работы вы будете постоянно разрешать выполнение того или иного приложения , а в современной ОС windows их множество. Поэтому производителем АВ вложено в базы процессы , файлы, производители -которые по умолчание не проверяются !
     
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Так вышлите разработчикам копию вредоноса, возможно выйдет исправление и все станет на свои места))

    Добавлено через 3 минуты 14 секунд
    Вот, тоже золотые слова, недавно проводил тоже тесты SysWatch на виртуалке, и скажу, что защита выше обычного АВ-решения. Не 100 %, поскольку рекламщика я все таки поймал, но запуск порядка 60 файлов перед этим был блокирован.
     
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей