بررسی آنتی ویروس "کسپر" "اویرا" "پاندا" (وجود نقص)

**tiyam 01** · 14-11-2010, 18:54

در مورد تست انتی ویروسها. از مراحل کار فیلمبرداری کرده بوده و روی پروزکتور به استادا نشون داده بود.
هر وقتم اومد اینجا یه نمونه ازش میگیرم و واسه تست حرفه ای ها اینجا میزارم

من گه نگتم پاور یوزر هستم. این قدر تکنولوزی واسه نرم اقزارها میسازن که آدم گیج میشه. مثلا نورتون یه تکنولوزی داشت، "سونار" تو انتی ویروس دیگه واسه همون تکنولوژی یه اسم دیگه گذاشته بودن

آنتی ویروس هم منظورم کلا برنامه های آنتی ویروس و اینترنت سکیوریتی و توتال سکیوریتی بود. خودم فقط از اینترنت سکیوریتی استفاده میکنم

ممنون بابت اطلاعات درباره HIPS

**M E H R A N** · 14-11-2010, 19:01

نوشته شده توسط tiyam 01 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در مورد تست انتی ویروسها. از مراحل کار فیلمبرداری کرده بوده و روی پروزکتور به استادا نشون داده بود.
هر وقتم اومد اینجا یه نمونه ازش میگیرم و واسه تست حرفه ای ها اینجا میزارم

من گه نگتم پاور یوزر هستم. این قدر تکنولوزی واسه نرم اقزارها میسازن که آدم گیج میشه. مثلا نورتون یه تکنولوزی داشت، "سونار" تو انتی ویروس دیگه واسه همون تکنولوژی یه اسم دیگه گذاشته بودن

ممنون بابت اطلاعات درباره HIPS

ممنون عزیز, پس منتظر نمونه هستم تا گذاشته بشه.
من ادعایی ندارم اما بعنوان یک power user حاضر به تست آن هستم.

Sonar در نورتون توسط خیلی از ویروسها و تروجانها قابل دور زدنه اما نکته ای که اینجا باید حتما بهش دقت بشه اینه که Sonar بعنوان یک Behavior Blocker بصورت Cloud کار میکنه و اگر موقع انجام تست اینترنت شما قطع باشه Sonar نتونه با اینترنت در تماس باشه در نتیجه شما فقط دیتابیس نورتون را آزمایش کردید و نه Sonar را. البته Sonar در صورت قطع بودن اینترنت هم میتونه در صورت آپدیت بودن دیتابیس تا حد 10 تا 20 درصد نمونه ها رو تشخیص یده اما وقتی به اینترنت دسترسی داشته باشه این تشخیص تا حد 70 تا 80 درصد میره بالا و در بعضی تست ها و نمونه ها حتی تا 90 درصد هم میرسه.

پس اینکه Sonar = Internet نباید فراموش بشه

موفق باشید

**Mohammad King** · 14-11-2010, 19:18

سلام

بهتر بود توی تاپیک زیر ادامه میدادید:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] (

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ... [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] )

اسم تاپیک شما هم مناسب نیست!

ویرایش شد...

**tiyam 01** · 15-11-2010, 18:28

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ممنون عزیز, پس منتظر نمونه هستم تا گذاشته بشه.
من ادعایی ندارم اما بعنوان یک power user حاضر به تست آن هستم.

موفق باشید

سلام
دوستنم اومده میگه به دلیل مسائل امنیتی ( اصلا علاقه ای به انتشار ویروس نداره و همچنین چون می خواد روشی رو که این حفره ها رو پیدا کرده محفوظ بمونه که کمپانی های آنتی ویروس نفهمن و بتونه ازشون امتیاز بگیره

) نمیتونم نمونه ویروس رو اینجا بزارم.
اما فیلم بلاهایی رو که سر ضد ویروس های مختلف آورده (با نشون دادن تنظیمات اونا) میتونید اینجا ببینید. http://securityplus.blogfa.com
امشبم اگه وقت کنه روی کومودو تست میکنه و از نحوه کار و تنظیمات اون هم فیلم میگیره
تو پست بدی خودش توضیح میده

**tiyam 01** · 15-11-2010, 18:34

راستی عنوان تاپیک اصلا ربطی به موضوع نداره

**santamove** · 15-11-2010, 19:53

آقا مهران،واقعا" این برنامه ظاهرا" بدافزار الگوریتم جالبی داره!!!

برای هر برنامه ای حتی کومودو می توان چنین برنامه ای را طراحی کرد و نوشت!
ولی این چنین برنامه هایی بدافزار محسوب نمی شوند!!!

من توانستم یک سورس خام و کامل از این نوع برنامه ها رو به زبان vb.net پیدا کنم:
دانلود کنید!

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

================================================== =======
مثلا کد این چنین برنامه هایی به زبان سی شارپ:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

روند کاری این چنین برنامه های مشابه برنامه های خود ویندوز هستند،ولی کمی خاص تر !!

نمونه جامع و حرفه چنین برنامه های از طرف مایکروسافت به نام Microsoft Process Explorerارائه گشته اند!
×کومودو را اگر kill process هم کنیم باز به فعالیت خود ادامه می دهد...پس جای نگرانی نیست

×از اسکرین شات ها معلومه که این برنامه معرفی شده در این تاپیک به زبان ویژوال بیسیک نوشته شده!!!
"به وسیله ویژوال بیسیک به راحتی می توان برنامه های نوشت،که یک پروسس خاص را بکشد! یا حتی آنرا به کلی disable کند!
که باز هم با کمی تسلط به ریجستری می توان آنرا سر جای خود گرداند!!!"

**M E H R A N** · 15-11-2010, 19:59

نوشته شده توسط tiyam 01 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
دوستنم اومده میگه به دلیل مسائل امنیتی ( اصلا علاقه ای به انتشار ویروس نداره و همچنین چون می خواد روشی رو که این حفره ها رو پیدا کرده محفوظ بمونه که کمپانی های آنتی ویروس نفهمن و بتونه ازشون امتیاز بگیره

) نمیتونم نمونه ویروس رو اینجا بزارم.
اما فیلم بلاهایی رو که سر ضد ویروس های مختلف آورده (با نشون دادن تنظیمات اونا) میتونید اینجا ببینید. http://securityplus.blogfa.com
امشبم اگه وقت کنه روی کومودو تست میکنه و از نحوه کار و تنظیمات اون هم فیلم میگیره
تو پست بدی خودش توضیح میده

ممنون عزیز,

من فیلم تست کسپرسکی را نگاه کردم و این نقد ها و عیب ها رو پیدا کردم.

1. از کجا بدونم Self Defense در کسپرسکی قبل از انجام تست غیر فعال نشده؟ آیا ایشون Option را در فیلم نشون دادند؟

2. استفاده کردن از تمی غیر از تم اورجینال هر نرم افزار امنیتی از پایه تست رو مردود شده میدونه. این قضیه از دید من نیست بلکه شما اگر حتی این فیلم را به مدیران کسپرسکی هم نشون بدید همون ثانیه اول فیلم رو قطع میکنند و وقتشون رو برای دیدنش طلف نمیکنند چون ایشون از تم دیگری که معلموم نیست توسط چه کسی ساخته شده استفاده کرده.

3. چرا در قسمت Help و بعد About نسخه ای را که در آن کسپرسکی تست شده را نشون نمیده. یک تستر اولین کاری که باید قبل از انجام تست انجام بده نشون دادن نسخه ای هست که استفاده میکنه.

4. نصب دو آنتی ویروس در کنار هم از پایه تست را مردود شده اعلام میکنه. هر چند که من هم میتونم چندین آنتی ویروس را بدون ایجاد مشکلی در یک سیستم نصب کنم اما در هنگام انجام همچین تست هایی نصب دو آنتی ویروس و یا 2 نرم افزار امنیتی از طرف هیچکسی قابل قبول نیست و همین نکته باعث میشه که حتی اگر کسپرسکی توسط برنامۀ ایشون غیر فعال بشه قابل قبول نباشه.

5. استفاده کردن از نسخۀ Beta در هیچ کجای دنیا بعنوان مدرک و یا تست مورد استفاده قرار نمیگیره. انگار Av-Comparative و یا سایت های دیگه ای که تست آنتی ویروسها را انجام میدند بجای استفاده کردن از نسخۀ Final از نسخه های Beta استفاده کنند. استفاده کردن از نسخه های Beta حتی از طرف خود شرکت های امنیتی پیشنهاد نمیشه و این نسخه ها ممکنه دارای باگ ها و حفره هایی باشند که در نسخۀ Final رفع شده باشند.

6. آپدیت بودن دیتابیس در فیلم نشون داده نمیشه. من بعنوان یک بیننده از کجا بدونم که دیتابیس آنتی ویروسی که ایشون تست کردند آخرین آپدیت را تا زمان تست کردن داشته؟

ایشون برای یک لحظه در ثانیۀ 32 با ماوس روی قسمت Update میرند اما پشیمون میشند و اون رو کلیک نمیکنند.

اینها مواردی بودند که باعث میشه از نظر یک بیننده مثل من تست ایشون رو مردود شده اعلام کنه. امیدوارم این موارد در تست های آیندۀ ایشون تکرار نشه تا دیگه بهونه ای نداشته باشیم و قبول کنیم که کسپرسکی یا نرم افزار های دیگه توسط برنامۀ ایشون غیر فعال شدند.

در مورد کمودو هم قبل از انجام تست بگم که اگر بعنوان یک power user میخواد تست کنه باید +Defense را بر روی حالت Paranoid Mode قرار بده و تنظیماتی را هم که بعنوان بهترین تنظیمات کمودو در تاپیک کمودو پست دوم اعلام کردم رو انجام بده.

اما اگر از کمودو میخواد بصورت یک کاربر معمولی تست بگیره حرفی نیست با همون تتنظیمات پیشفرضی که موقع نصب داره این تست رو انجام بده. اما آپدیت دیتابیس و نشون دادن آپدیت بودن اون فراموش نشه.

**M E H R A N** · 15-11-2010, 20:09

نوشته شده توسط santamove [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

آقا مهران،واقعا" این برنامه ظاهرا" بدافزار الگوریتم بسیار ساده و خنده داری داره!!!

برای هر برنامه ای حتی کومودو می توان چنین برنامه ای را طراحی کرد و نوشت!
ولی این چنین برنامه هایی بدافزار محسوب نمی شوند!!!

روند کاری این چنین برنامه های مشابه عکس های زیر هستند!!!

نمونه جامع و حرفه چنین برنامه های از طرف مایکروسافت به نام Microsoft Process Explorerارائه گشته اند!
×کومودو را اگر kill process هم کنیم باز به فعالیت خود ادامه می دهد...پس جای نگرانی نیست

Santamove عزیز پروسۀ cfp.exe در کمودو فقط کار نشون دادن اینترفیس یا همان GUI برنامه را انجام میده. این پروسه را شما حتی خودتون اگر از استارت آپ سیستم بردارید مشکلی در کار کمودو بوجود نمیاد و شما فقط اینترفیس و آیکون Systemtry را برای کمودو غیر فعال کردید.

به همین دلیل پروسۀ cfp.exe خودش رو از طریق ثبت کلید رجیستری در استارت آپ سیستم ثبت میکنه و توسط هر کسی حتی خود شما قابل غیر فعال شدنه.

اما کار محافظت اصلی از سیستم را در کمودو پروسۀ cmdagent.exe بر عهده داده و به همین دلیل این پروسه بعنوان یک سرویس در سیستم اجرا میشه و در رجیستری هم وجود نداره

پس برای کشتن کمودو و یا غیر فعال کردن آن باید cmdagent.exe توسط ویروسها و تروجانها غیر فعال بشند.

مخلصیم

**~~Karkas20~~** · 15-11-2010, 20:16

من با اقا مهران موافقم ایشون امدند امنیت کسپر را پایین اوردند واسه این که اگر ویروس اجرا شود کسپر نتونه کاری کنه وبه حامد خان هم بگه من نرم افزار امنیتی را شکست دادام. نسخه بتا پر از باگ است نیازی نیست شما گزارش کنید.حتما برای کمودو هم میان نسخه بتا با یک تم و ورژن اپدیت نشده و تنظیمات پایین میان فیلم میگیرن.و میگن کمودو هم شکست خورد ولی من تا جایی که یادمه دوستان واقا مهران ویروس هایی را با کسپرو کمودو تست کردند که قدرتش خراب کاریش بدتر از این ویروس دوستتون است.اخر یک ویروس نویس نمیاد پخش کنه که اهای ایهاالناس من ویروس مینویسم .بیا تا به شما هم بدم.اقا تیام اگر حامد میگد برای مسایل امنیتی ویروس را اپلود نمیکند.پس چرا ایشون امدند از ویروسی که ساختند در دانشگاه و جاهی دیگر ذکر کردند.وبرای شما فیلمش را گذاشتند تا شما برای ما اپلود کنی.به نظر من یک جای قظیه میلنگه.همیشه یک ادم که کار منفی انجام میدهد نمیاد خودش را لو بده تا گیر بیفته.اما اقا حامد دوست داره خودش را معروف کنه.

**santamove** · 15-11-2010, 20:18

نوشته شده توسط M E H R A N [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Santamove عزیز پروسۀ cfp.exe در کمودو فقط کار نشون دادن اینترفیس یا همان GUI برنامه را انجام میده. این پروسه را شما حتی خودتون اگر از استارت آپ سیستم بردارید مشکلی در کار کمودو بوجود نمیاد و شما فقط اینترفیس و آیکون Systemtry را برای کمودو غیر فعال کردید.

به همین دلیل پروسۀ cfp.exe خودش رو از طریق ثبت کلید رجیستری در استارت آپ سیستم ثبت میکنه و توسط هر کسی حتی خود شما قابل غیر فعال شدنه.

اما کار محافظت اصلی از سیستم را در کمودو پروسۀ cmdagent.exe بر عهده داده و به همین دلیل این پروسه بعنوان یک سرویس در سیستم اجرا میشه و در رجیستری هم وجود نداره

پس برای کشتن کمودو و یا غیر فعال کردن آن باید cmdagent.exe توسط ویروسها و تروجانها غیر فعال بشند.

مخلصیم

خوب آقا مهران من هم گفتم تاثیری در کومودو نداره!!!
من سورس این بدافزار کذایی رو به دو زبان گذاشتم!

نام تاپيک: بررسی آنتی ویروس "کسپر" "اویرا" "پاندا" (وجود نقص)

اختيارات تاپيک

این کاربر از tiyam 01 بخاطر این مطلب مفید تشکر کرده است

6 کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده اند

2 کاربر از Mohammad King بخاطر این مطلب مفید تشکر کرده اند

این کاربر از tiyam 01 بخاطر این مطلب مفید تشکر کرده است

2 کاربر از santamove بخاطر این مطلب مفید تشکر کرده اند

7 کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده اند

این کاربر از M E H R A N بخاطر این مطلب مفید تشکر کرده است

2 کاربر از Karkas20 بخاطر این مطلب مفید تشکر کرده اند

این کاربر از santamove بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن