Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 14)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83

Открыть новую тему     Написать ответ в эту тему

Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Обзор и тестирование антивирусов

и других средств безопасности на их основе
под Windоws 98/XP/Vista/7/8/8.1/10


Закрываемся от вируса-шифровальщика WannaCry
Карта распространения WannaCry в реальном времени | Ещё карта
Правила публикации ссылок на образцы | Правила проведения и оформления тестов...
Хостинги для скриншотов | Online-сервисы для комплексного анализа подозрительных файлов
Основные вендоры антивирусной индустрии... | Таблица
Отправка подозрительных файлов одновременно всем вендорам...
Более или менее независимые тестовые лаборатории антивирусных решений
Набор поведенческих онлайн анализаторов
AVZ | AdwCleaner — дополнение к стационарным антивирусам
Антивирусы не требующие инсталяции | Смежные темы на Ru-Board

Всего записей: 35430 | Зарегистр. 26-02-2002 | Отправлено: 21:09 07-07-2018
alexgrits

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
8 не очень свежих  файлов  
_hxxps://www.upload.ee/files/8662077/321.rar.html  

BDIS2018


Всего записей: 5857 | Зарегистр. 23-11-2011 | Отправлено: 13:26 10-07-2018
AVGast

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#Foto2.JPG.vbs

Всего записей: 885 | Зарегистр. 19-10-2017 | Отправлено: 13:39 10-07-2018
Nevi Dimka

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
8 не очень свежих  файлов  
_hxxps://www.upload.ee/files/8662077/321.rar.html

Оставшийся файл не запускается.

https://www.virustotal.com/ru/file/bcf048728f08339a629aa195da8a04f716902c20131cc0a82dad1d74d8cb1f9f/analysis/

Всего записей: 1624 | Зарегистр. 10-12-2015 | Отправлено: 13:41 10-07-2018 | Исправлено: Nevi Dimka, 03:20 11-07-2018
alexgrits

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#Foto2.JPG.vbs

BDIS2018
запуск

Всего записей: 5857 | Зарегистр. 23-11-2011 | Отправлено: 14:35 10-07-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#Foto2.JPG.vbs  

WD, запуск, на пару секунд появилось пустое окно PowerShell и закрылось.  

Подождал пять минут, никаких движений в системе. АЗ, ПЗ, сканеры - чисто.


Всего записей: 1107 | Зарегистр. 26-04-2017 | Отправлено: 15:02 10-07-2018
alexgrits

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#Foto2.JPG.vbs  

KIS18
Запуск

Всего записей: 5857 | Зарегистр. 23-11-2011 | Отправлено: 15:18 10-07-2018
Petrovic82



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#1

Всего записей: 3522 | Зарегистр. 19-10-2013 | Отправлено: 15:35 10-07-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#1

WD, распаковка


Всего записей: 1107 | Зарегистр. 26-04-2017 | Отправлено: 15:39 10-07-2018
AVGast

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подождал пять минут, никаких движений в системе. АЗ, ПЗ, сканеры - чисто.

То что никаких движений и сканеры ничего не видят, вовсе не значит что все хорошо. Увы, это пропуск. ESET тоже не пикнул.  Хотя нет, пикнул. А Каспер молодец.



Всего записей: 885 | Зарегистр. 19-10-2017 | Отправлено: 16:01 10-07-2018 | Исправлено: AVGast, 16:16 10-07-2018
KugelSuck



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#1

KES распаковка

Всего записей: 101 | Зарегистр. 16-01-2018 | Отправлено: 16:20 10-07-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
То что никаких движений и сканеры ничего не видят, вовсе не значит что все хорошо. Увы, это пропуск. ESET тоже не пикнул.  Хотя нет, пикнул. А Каспер молодец.  

Так можно на любой файл сказать, что пропуск. А то, что он мог просто не отработать в определённой системе в расчёт что уже не берётся?  А то что он (файл) может делать то или другое, это для меня точно не показатель. Да, может и что-то  сделать, а может и не отработать, от разных факторов зависит, железо, конфигурация и др. А насчёт молодца каспера, я KIS19 часа за два до защитника проверял и результат был тот же, что и с защитником. Файл был добавлен в слабые ограничения, даже скриншот сохранил, на всяк случай

 
 

Всего записей: 1107 | Зарегистр. 26-04-2017 | Отправлено: 16:28 10-07-2018
alexgrits

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#1  

BDIS2018
 то же облачный детект

Всего записей: 5857 | Зарегистр. 23-11-2011 | Отправлено: 16:31 10-07-2018
AVGast

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Так можно на любой файл сказать, что пропуск. А то, что он мог просто не отработать в определённой системе в расчёт что уже не берётся?  А то что он (файл) может делать то или другое, это для меня точно не показатель. Да, может и что-то  сделать, а может и не отработать, от разных факторов зависит, железо, конфигурация и др.

Это всего лишь скрипт, который загружает всякую хрень, а там может быть что угодно, например какой нибудь руткит. В вашем случае защитник при запуске скрипта ни как не отреагировал а это уже пропуск. А может или не может, можно гадать до бесконечности.

Всего записей: 885 | Зарегистр. 19-10-2017 | Отправлено: 16:55 10-07-2018 | Исправлено: AVGast, 16:55 10-07-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Это всего лишь скрипт, который загружается всякую хрень, а там может быть что угодно, например какой нибудь руткит. В вашем случае защитник при запуске скрипта ни как не отреагировал а это уже пропуск. А может или не может, можно гадать до бесконечности.

Вот именно, можно только гадать и не более, а Вы так категорично написали, что это пропуск и точка.
Для примера, вспоминаем запуски MBR-killer, где были пропуски некоторых... не будем вслух. Что было в моей системе, с моими настройками? Появлялся процесс в памяти этого киллера на пару секунд и выгружался и тишина, никаких движений в системе больше не было. Что, тоже пропуск? Только потому, что Вы точно знаете, что это киллер и он точно обязан, по любому и точка, убить MBR. Так почему на моём железе с моими настройками ничего не убивал, ведь должен был, в любом случае, ведь это же MBR-killer. Как уже не раз я высказывался, в теории предположений (пропустил не пропустил) не играю, не моё. Мне нужны факты и только они, а не гипотезы. Если есть пропуск, доказательства в студию.

Всего записей: 1107 | Зарегистр. 26-04-2017 | Отправлено: 17:08 10-07-2018
Gall

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#1

запуск

Всего записей: 1262 | Зарегистр. 23-01-2017 | Отправлено: 17:18 10-07-2018
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Появлялся процесс в памяти этого киллера на пару секунд и выгружался и тишина, никаких движений в системе больше не было.

Тоже самое у меня было с последним WinRAR (версия 5.60, репак от Кролика), я долго не мог понять, почему он не устанавливается. Оказывается проблема была из-за включенного "Принудительного случайного распределения для образов (обязательный ASLR) - в "Защите от эксплойтов" этот пункт выключен по дефолту", а все остальные включены по дефолту. Вернул значение этого пункта на дефолт, репак установился без проблем.
P.S. по поводу настроек защитника через групповые политики, я тут посмотрел ваш пост на 200 странице в предыдущей теме емнип, и как я понял, некоторые из них уже и так включены по дефолту, по крайней мере у меня так, я только включил через групповые политики (чисто на посмотреть, что да как):
1) Уровень защиты в облаке: высокий.
2) Расширенная проверка в облаке: 50sec + 10sec дефолтных.
 
Если кому интересно, рассмотрим некоторые из этих свойств через Powershell:
https://hkar.ru/UJwG
1) CloudBlockLevel и CloudExtendedTimeout появляются после включения в групповых политиках 2 пунктов (указанных выше).
2) MAPSReporting 2 - присоединиться к Maps -> расширенный MAPS (включено по дефолту)  
3) SubmitSamplesConsent 1 - отправлять образцы если требуется дальнейший анализ -> отправлять безопасные образцы (включено по дефолту).  
4) Защита от PUA включается с помощью Set-MpPreference -PUAProtection 1

Цитата:
Блокировка при первом появлении - включено.

Эта функция включается автоматически, если включены Облачная защита и Автоматическая отправка образцов, а они включены в UI защитника
Документация:

Цитата:
https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-antivirus/use-group-policy-windows-defender-antivirus

В итоге, защитник особо то и настраивать не нужно, он и по дефолту работает отлично  Не всем нужен высокий уровень защиты в облаке и 50 секунд дополнительного времени на анализ

Всего записей: 1023 | Зарегистр. 21-11-2017 | Отправлено: 18:10 10-07-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Тоже самое у меня было с последним WinRAR (версия 5.60, репак от Кролика), я долго не мог понять, почему он не устанавливается. Оказывается проблема была из-за включенного "Принудительного случайного распределения для образов (обязательный ASLR) - в "Защите от эксплойтов" этот пункт выключен по дефолту", а все остальные  

Я это знаю. Просто здесь доказывают, раз защитник не сработал, значит это пропуск и точка. Поэтому я и привёл пример с MBR киллером, где тоже сам защитник антивирусным модулем не срабатывал, но киллер не отрабатывал. Поэтому и говорю, что если есть загрузчик, то это совсем не обязательно, что он и вправду что-то загружает, в конкретно взятой системе.

Цитата:
В итоге, защитник особо то и настраивать не нужно, он и по дефолту работает отлично   Не всем нужен высокий уровень защиты в облаке и 50 секунд дополнительного времени на анализ

Кашу маслом не испортишь Тем более я не один раз видел в тестах, когда появлялся алерт, что файл должен быть просканирован в течении 60 сек. и секунд через 20-30 появлялся алерт о обнаружении этого файла. При этом в это время (60 сек.) пока идёт анализ файла в облаке, запуск файла блокируется. При попытке его запуска, ранее чем через 60 сек. появляется системное уведомление, что запустить это приложение на этом компе нельзя.
 

Всего записей: 1107 | Зарегистр. 26-04-2017 | Отправлено: 18:29 10-07-2018
haze89

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Просто здесь доказывают, раз защитник не сработал, значит это пропуск и точка...

Понятно)

Цитата:
Тем более я не один раз видел в тестах, когда появлялся алерт, что файл должен быть просканирован в течении 60 сек...

Такого алерта еще не видел, но в будущем наверно увижу

Всего записей: 1023 | Зарегистр. 21-11-2017 | Отправлено: 19:36 10-07-2018
AVGast

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#Google-Chrome-v67-Launcher.exe


Всего записей: 885 | Зарегистр. 19-10-2017 | Отправлено: 21:48 10-07-2018
Fayer

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
#Google-Chrome-v67-Launcher.exe

WD, запуск, мигнул процесс в памяти на пол секунды и сразу выгрузился.
АЗ, ПЗ, сканеры - чисто.

понимаю-понимаю, очередной пропуск, ведь алерта о обнаружении не было.  
Прямо детективная история, когда сканеры ничего не находят, это всё равно пропуск. А когда сканеры находят несколько работающих на горячую в памяти троянов, это совсем ничего не значит... особенно когда дело касается платных комплексных антивирусов
 

Всего записей: 1107 | Зарегистр. 26-04-2017 | Отправлено: 00:33 11-07-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83

Компьютерный форум Ru.Board » Компьютеры » Программы » Обзор и тестирование антивирусов под Windows (часть 14)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru