IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Reply to this topicStart new topic
> Dr.Web признан единственным невзламываемым антивирусом в мире, тест антивирусных программ
layman
10.11.2009 - 13:55
Сообщение #1



сисадмин
Group Icon
Группа: Модераторы
Сообщений: 1583
Регистрация: 19.04.2006
Из: Самары

Пользователь №: 159636




Dr.Web признан единственным невзламываемым антивирусом в мире


C 23 по 25 октября во французском городе Лаваль проходил первый конгресс iAWACS (International Alternative Workshop on Aggressive Computing and Security), инициированный Высшей Школой Информатики, Электроники и Автоматики (ESIEA). В рамках данного мероприятия было проведено тестирование 7 антивирусов на возможность взлома системы самозащиты в течение одного часа.

Тестирование проводилось на компьютерах под управлением операционной системы Windows с правами администратора, дабы условия были более реалистичными. В общей сложности оно заняло около часа. Более подробная информация о тестировании представлена на официальном сайте ESIEA.

По итогам организованного ESIEA тестирования выяснилось, что антивирусы таких производителей как «Лаборатория Касперского» и Eset можно взломать за 40 и 33 минуты соответственно. При этом для того, чтобы обойти защиту Norton Antivirus, понадобится всего 4 минуты. Неудачливее всех оказался антивирус McAfee – он «сдался» менее чем за 2 минуты. Также тест самозащиты не прошли AVG и G Data. Единственным антивирусом, который не удалось вывести из строя в течение часа, в рамках которого проводился тест, оказался российский Dr.Web. Всем производителям, участвовавшим в тестировании, была передана информация о найденных уязвимостях.

Описание взлома:

McAfee

•Disabled in 2 minutes
1.Gain SYSTEM privileges (“at” command)
2.Stop the service (net stop)
•Of course, this can be automated

Norton

•Virus scan done in kernel
•Disabled by removing signatures
1.Create a RW shared folder for the “virusdefs” directory
2.Mount \\127.0.0.1\virusdefs as SYSTEM, and simply remove all signatures

NOD32

•Disabled through \Device\PhysicalMemory (an XP-only trick, wouldn’t work on Vista/7)
1.Fill every page of ekrn.exe with nulls
2.Process crashed, detection disabled
•POC code developed for this purpose

G-DATA

•Disabled by removing driver
1.Open the Device Manager then show all non-PNP devices
2.Stop the main G-DATA driver and EICAR test is no longer detected

Kaspersky

•Disabled through \Device\PhysicalMemory
1.Trash all code pages of avzkrn, procmon, hips (user-land DLLs)
2.Detection no longer works

AVG

•Also disabled through \Device\PhysicalMemory
1.Similarly, in-memory overwrite of the user-land scanning component
2.Detection no longer works

Dr Web

•So far, hasn’t been disabled
•NtOpenSection() is blocked (used to access PhysicalMemory mapping)
•But Dr. Web doesn’t block kernel driver loading, so it’s only a matter of time

drweb and esiea-recherche


--------------------
IPB Image
User is offlineProfile Card PM
Go to the top of the page
+
Реклама

Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0 -

 



- Текстовая версия Сейчас: 28.03.2024 - 16:30
]]> ]]>
]]> Яндекс.Метрика ]]>