دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

نقل قول:

---

نوشته شده توسط jolan57 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این نمونه رو تست کنید فقط 2 آنتی ویروس تا به الان میشناسن
پس اجرا کنید نه اسکن :دی (البته یا در سندباکس یا در ویندوز مجازی)
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پسورد : 123

---

سلام عباس با اجازت یه کم باهات مخالفت کنم:n02:
اجرا کردن مخرب تو سندباکس به نظر من ملاک شناسایی نیست بارها مخرب رو تو سندباکس اجرا کردم شناساسی نشده اما در محیط غیر مجازی شناسایی شده(ویندوز مجازی خوبه ):n02:
یه بار داشتم تست میکردم یه مخرب صفر کیلومتر. رقابت بود بین بیت دیفندر و کسپر
بیت دیفندر تو ویندوز مجازی به محض اجرا شناسایی میکرد اما کسپر که رو سیستم خودم بود مخرب رو تو برنامه سندباکسی اجرا میکردم به راحتی اجرا میشد و کسپر هیچ عکس العملی نداشت حتی در بخش هیستوری که فعالیتهای برنامه رو ثبت میکنه نگاه کردم باز هم دیدم تمام فعالیتهای برنامه کسپر زده allow برام عجیب بود چرا کسپر به این مخرب خطرناک اجازه فعالیت به تمام بخشها رو میده اما بیت دیفندر به محض اجرا شناسایی میکنه اخرش وسوسه شدم مخرب رو تو سیستم اصلی اجرا کنم به محض اجرا در محیط غیر مجازی شناسایی شد(شاید به خاطر ساختار بخش اپ کنترل کسپر بوده که برنامه سندباکسی رو در لیست سفید داشت دقیقا نمیدونم) البته این تجربه من با برنامه سندباکسی بود شاید برنامه های دیگه اینجوری نباشن
اینجوری بود که متوجه شدم تو برنامه سندباکسی اجرا کردن نمیتونه مشخص کنه که صد درصد مخرب شناساسی میشه یا نه این بود تجربه من:n16:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نقل قول:

---

نوشته شده توسط jolan57 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این نمونه رو تست کنید فقط 2 آنتی ویروس تا به الان میشناسن
پس اجرا کنید نه اسکن :دی (البته یا در سندباکس یا در ویندوز مجازی)
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پسورد : 123

---

نورتن 360
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نقل قول:

---

نوشته شده توسط jolan57 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این نمونه رو تست کنید فقط 2 آنتی ویروس تا به الان میشناسن
پس اجرا کنید نه اسکن :دی (البته یا در سندباکس یا در ویندوز مجازی)
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پسورد : 123

---

سلام

اسکن :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


اجرا :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بولگارد
اجرا در سندباکس ( رونوشت به [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] :دی )
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

البته با دیتابیس بیت دیفندرم میشناسه

نقل قول:

---

نوشته شده توسط jolan57 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این نمونه رو تست کنید فقط 2 آنتی ویروس تا به الان میشناسن
پس اجرا کنید نه اسکن :دی (البته یا در سندباکس یا در ویندوز مجازی)
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پسورد : 123

---

کومودو با اسکن شناخت، دیگه به اجرا نرسید.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


----------

من فقط میخوام یک نکته را از منظر خودم در مورد تستها و سندباکس بگم:

برای انجام تستها نباید از محیط سندباکس استفاده بشه، استفاده از برنامه هایی مثل Sandboxie در تستها فقط یک تقلب آشکار هست!

اگر هم بیان میشه نمونه ها را در سندباکس اجرا کنید فقط به این دلیل هست که کاربران مبتدی آلوده نشوند. وگرنه یک کاربر حرفه ای اصلا و ابدا برای تست یک سوییت امنیتی مخربها را سندباکس اجرا نمیکنه. این امر نشون میده که کاربر به سوییتش اطمینان نداره. پارسال هم من به امیر گفتم _ تستی انجام داد در رابطه با نورتون که مخربها را در سندباکسی اجرا کرد_ الان تست نورتون بوده؟ پس SandboxIE اینجا چیکار میکنه؟

نکته: مگر اینکه آنتی ویروس شما دارای محیط سندباکس باشه که این بحثش فرق میکنه. و دیگه تقلب نیست.

این تستها هم دو جنبه داره: 1- ایا بعد از اجرا آنتی ویروس قادر به شناسایی هست؟ 2- اگر حتی بعد از اجرا شناسایی صورت نگرفته، آیا سویت ما تونسته جلوی خرابکاری مخرب را بگیره.

بنابراین: اگر کسی برای تست مخربها از برنامه هایی مثل Sandboxie استفاده میکنه، سویتش تست نشده! ، بنابراین تستش فاقد اعتبار هست.

نقل قول:

---

نوشته شده توسط Jadda [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من فقط میخوام یک نکته را از منظر خودم در مورد تستها و سندباکس بگم:

برای انجام تستها نباید از محیط سندباکس استفاده بشه، استفاده از برنامه هایی مثل Sandboxie در تستها فقط یک تقلب آشکار هست!
.

---

سلام علی :n12:
البته این نظر از "منظر" خودت بود و نقد کردن شاید درست نباشه ولی به هر حال ... :دی

نقل قول:

---

اگر هم بیان میشه نمونه ها را در سندباکس اجرا کنید فقط به این دلیل هست که کاربران مبتدی آلوده نشوند. وگرنه یک کاربر حرفه ای اصلا و ابدا برای تست یک سوییت امنیتی مخربها را سندباکس اجرا نمیکنه. این امر نشون میده که کاربر به سوییتش اطمینان نداره. پارسال هم من به امیر گفتم _ تستی انجام داد در رابطه با نورتون که مخربها را در سندباکسی اجرا کرد_ الان تست نورتون بوده؟ پس SandboxIE اینجا چیکار میکنه؟

---

من اینو قبول ندارم,اگر کاربر هم حرفه ای باشه و به سوئیتش هم اطمینان داشته باشه از نظر من کار درستی نیست که مخرب رو در محیط ویندوز اصلی اجرا کنیم , اگر ما حتی 1 درصد هم نسبت به آلودگی شک داشته باشیم نباید این کار رو کرد و میدونی هیچ سوئیتی هنوز ادعای 100 درصدی محافظت از سیستم رو نداره
حالا شاید من به HIPS کمودو اعتماد داشته باشم و میدونم که بعد از اجرای برنامه هشدار میده و من بلاک میکنم ولی در مورد برنامه ای مثل بولگارد یا حتی نورتون و بیت دیفندر ... من هرگز این کار رو در سیستم اصلیم انجام نمیدم با اینکه به سوئیت هایی مثل نورتون و بیت دیفندر اعتماد کامل دارم
سندباکس تا اونجا که من میدونم خودش دسترسی برنامه ها رو محدود نمیکنه پس تداخلی در تست ایجاد نمیشه (مگر اینکه غیر از این باشه و سندباکس فعالیت مخرب رو محدود کنه) و فقط برنامه رو در یک محیط مجازی اجرا میکنه

نقل قول:

---

این تستها هم دو جنبه داره: 1- ایا بعد از اجرا آنتی ویروس قادر به شناسایی هست؟ 2- اگر حتی بعد از اجرا شناسایی صورت نگرفته، آیا سویت ما تونسته جلوی خرابکاری مخرب را بگیره.

---

خب سندباکس در این مورد تداخلی ایجاد نمیکنه اگر به عکسی که من گذاشتم توجه کنی بولگارد برنامه رو نشناخته ولی پس از اجرا و رفتار برنامه اون رو مخرب تشخیص داده:
the program attempted to hijack (run itself as part of) another process

نقل قول:

---

بنابراین: اگر کسی برای تست مخربها از برنامه هایی مثل Sandboxie استفاده میکنه، سویتش تست نشده! ، بنابراین تستش فاقد اعتبار هست.

---

خب پس این تستی که من گذاشتم از نظر شما چیه ؟ این تست بولگارد نیست ؟؟

ارادت:11:

سلام

نقل قول:

---

البته این نظر از "منظر" خودت بود و نقد کردن شاید درست نباشه ولی به هر حال ...

---

اتفاقا من عمدا کلمه "از منظر خودم" را آوردم، چون حدس اینکه کاربرانی نظر دیگری داشته باشند را میدادم. و از نقد نظر خودم هم استقبال میکنم.

نقل قول:

---

من اینو قبول ندارم,اگر کاربر هم حرفه ای باشه و به سوئیتش هم اطمینان داشته باشه از نظر من کار درستی نیست که مخرب رو در محیط ویندوز اصلی اجرا کنیم , اگر ما حتی 1 درصد هم نسبت به آلودگی شک داشته باشیم نباید این کار رو کرد و میدونی هیچ سوئیتی هنوز ادعای 100 درصدی محافظت از سیستم رو نداره

---

خب، عباس قصد اینه که سویتها تست بشن. استفاده از Sandboxie به چه معنی هست؟؟

منم میدونم هیچ محصول امنیتی هم ادعای حفاظت 100 درصد را نداره. حتی خود من که پشت کومودو ایستادم هم جرات چنین ادعای گزافی را ندارم. برای همین هست که میگم مخرب باید خارج از یک سندباکس غیر تست بشه تا اتفاقا سیستم شما آلوده بشه! بله برادر سیستم شما باید آلوده بشه. اگر میترسی بازی را باختی، تست را باختی! شکست خوردی.

نقل قول:

---

.. من هرگز این کار رو در سیستم اصلیم انجام نمیدم با اینکه به سوئیت هایی مثل نورتون و بیت دیفندر اعتماد کامل دارم

---

اگر حرفت اینه شما شکست خوردی! از ترست هست که میای در تسها سندباکس را هم وارد بازی میکنی. چون میترسی اگر مخرب شناسایی نشه احتمال اینکه سیستم آلوده بشه هست.

نقل قول:

---

سندباکس تا اونجا که من میدونم خودش دسترسی برنامه ها رو محدود نمیکنه پس تداخلی در تست ایجاد نمیشه (مگر اینکه غیر از این باشه و سندباکس فعالیت مخرب رو محدود کنه) و فقط برنامه رو در یک محیط مجازی اجرا میکنه

---

بله محیطهای سندباکس سعی شون بر این هست که محدودیتی ایجاد نکنند، اما یک نکته را فراموش نکن: اگر مخرب شناسایی نشد چون در یک محیط مجازی هست، پس سیستمت آلوده نمیشه و اون بخش دوم تست انجام نشده!

نقل قول:

---

خب سندباکس در این مورد تداخلی ایجاد نمیکنه اگر به عکسی که من گذاشتم توجه کنی بولگارد برنامه رو نشناخته ولی پس از اجرا و رفتار برنامه اون رو مخرب تشخیص داده:
خب پس این تستی که من گذاشتم از نظر شما چیه ؟ این تست بولگارد نیست ؟؟

---

یک تست جامع از بولگارد نیست.

شما فقط اومدی اینو تست کردی که اگر این مخرب اجرا بشه بولگارد شناسایش میکنه.

اما خودت داری میگی اجرا در سنبدباکس ، سوال من اینه: میشه بگید چطور میخواهید متوجه بشوید که اگر شناشایی نمیشد، اونوقت آیا خطری سیستم را تهدید میکرد یا نه؟

=======

خلاصه تا بهتر متوجه بشی: این تست شما فقط قدرت شناسایی را محک میزنه، اما چون مخرب در محیط دیگری (سندباکس) اجرا شده بخش دوم تست صورت نمیگره و سویت شما در اون بخش محک نمیخوره.

نکته پایانی: استدلالت منو قانع نکرد، همچنان میگم نباید از Sandboxie استفاده بشه. این یک تقلب هست که از ترس ناشی میشه.

شما اگر آنتی ویروست در هر صورتی تشخیص نداشت و نتونست جلوگیری هم بکنه باید آلوده بشی، چرا پشت Sandboxie قایم میشی؟

به این بحث ادامه میدیم.....

خب این چیزی که تو میگی یک تست کامل از سوئیت مورد نظر هست که باید در ویندوز مجازی صورت بگیره
یعنی اجرای مخرب + اگر بر اساس رفتارهای فایل محصول امنیتی جلوش رو گرفت که تست تمام میشه و اگر نه میریم مرحله بعد یعنی آلودگی که اینجا هم سوئیت احتمال داره بعد از آلودگی و بررسی رفتارهای مخرب نسبت بهش مشکوک بشه که خودم این مورد رو در مورد کسپر و نورتون دیدم و بازم برای پاکسازی تلاش میکنه که در این صورت سوئیت سربلند از تست بیرون میاد و در غیراین صورت شکست میخوره و تست تمام میشه.
که این تست خیلی هم خوبه ولی بازم میگم اصلاً نمیتونم قانع بشم که این تست رو بر روی سیستم اصلی انجام بدیم!
ولی تست ما فقط محدود به قسمت اول تست بالا میشه یعنی اجرای مخرب و اگر سوئیت بر اساس رفتارهای مخرب اون رو شناسایی کرد که محصول ما از این تست سربلند بیرون اومده و اگر این کار رو نکرد شکست خورده و تست تمام میشه!
که به نظر من این تست هم تست خوبیه در حد خودش و نمیشه اون رو فاقد اعتبار دونست.
پس به نظر من دو نوع تست داریم که تداخلی هم باهم ندارن و نمیشه اجرای اون ها رو زیر سوال برد

نقل قول:

---

اما خودت داری میگی اجرا در سنبدباکس ، سوال من اینه: میشه بگید چطور میخواهید متوجه بشوید که اگر شناشایی نمیشد، اونوقت آیا خطری سیستم را تهدید میکرد یا نه؟

---

اگر شناسایی نمیشد بولگارد شکست میخورد و میشد برای بررسی بیشتر اگر وقت و امکاناتش بود اون رو ویندوز مجازی تست کرد

نقل قول:

---

نکته پایانی: استدلالت منو قانع نکرد، همچنان میگم نباید از Sandboxie استفاده بشه. این یک تقلب هست که از ترس ناشی میشه.

شما اگر آنتی ویروست در هر صورتی تشخیص نداشت و نتونست جلوگیری هم بکنه باید آلوده بشی، چرا پشت Sandboxie قایم میشی؟

---

خب تو بهش میگی ترس ولی من بهش میگم احتیاط !
و میدونی که احتیاط شرط عقله.
پس به نظر تو اگر تشخیص نداد آلوده بشیم ؟ من اینو اصلا قبول ندارم

سلام

نقل قول:

---

مخرب باید خارج از یک سندباکس غیر تست بشه تا اتفاقا سیستم شما آلوده بشه! بله برادر سیستم شما باید آلوده بشه

---

من با نظر اینکه تست نباید در سندباکس اجرا بشه موافقم، ولی بدلیل دیگه ولی نه بدلیل برد و باخت یا ترس...
یعنی بنظر من جواب صحیحه ولی روش اثباتش غلط
سندباکس میتونه ضعفها و مسایل فنی مربوط بخودش رو داشته باشه، همونطور که دوستان اشاره کرده اند...و این میتونه نتیجه تست رو نامعتبر و غیر دقیق کنه.
ولی در مورد ویرچال مشین این موضوع تا جایی که میدونم و تست کردم صادق نیست.

+من الان 10-15 هارد 30-40-80 و ...دارم +سه سیستم(بعلل کاری) خیلی راحت میتونم یکی از هاردهام رو بیارم بالا و تا دلم میخاد تستهای واقعی انجام بدم..
ولی...
آیا همه کاربران همچین امکانی رو دارند؟
آیا اگر این امکان رو نداشتم درست بود بروی سیستم اصلیم که در اون صدها تایپ و چندین پروژه و کالکشن و... وجود داره ریسک کنم؟ +وقتی که اگر سیستم بخوابه از من کشته میشه ...قمار به چه بهایی؟

نقل قول:

---

شما اگر آنتی ویروست در هر صورتی تشخیص نداشت و نتونست جلوگیری هم بکنه باید آلوده بشی، چرا پشت Sandboxie قایم میشی؟

---

آخه چرا:n02:
برای کاربرانی که یک سیستم برای تست در اختیار دارند پیشنهاد ماشین مجازی رو میدم.

اوکی! حالا شد.:n12:

توضیحات این پستت خیلی بهتر بود، فکر کنم حالا منظور منو متوجه شدی.:n02: براوو...

ببین من خودم شخصا تستهای اسکن_دیتابیس_ را قبول دارم اما کامل نیست. حتی این تست شما را هم قبول دارم ولی کامل نیست..... کامل همونی هست که خودت توضیح دادی.

1- اسکن
2- اجرا
3- یا شناسایی میشه یا نمیشه( اگر شناسایی شد که هیچی_ اگر نشد سیستم آلوده میشه یا نمیشه_ Sandboxie اینجا تست را خراب میکنه، حالا فهمیدی چرا من مخالف استفاده از اونم_ شما با این کار داری یک بخش مهم را نادیده میگری و با Sandboxie همه چیز را ختم به خیر میکنی!)

هیچ موسسه معتبری نمیاد برای تست سویتها، مخربها را در Sandboxie اجرا کنه. حتی انجمن معتبر p30world !

4- خب اگر هم آلوده شدیم که وارد یک فاز دیگر میشیم به اسم پاکسازی که مبحثش جداست( هر چند در امتداد همین تست قرار میگیره و باید انجام بشه) حتی اگر موفق به پاکسازی هم بشه باز آلوده نشدن امتیاز بالاتری داره!؛ ولی به هرحال کامل کننده تست هست. حتی در ادامه میشه فهمید که گاهی اوقات پاکسازی بی معنی هست. و حتی میشه فهمید که گاهی اوقات پاکسازی چقدر مهم هست و ما واقعا بهش نیاز داریم.

خب این شد 5 مرحله تست. اما شما با Sandboxie کار را خراب میکنی. من همچنان مخالف استفاده ازش هستم. شما با استفاده از این ابزار دارید یک بخش خیلی مهم را حذف میکنی در تست.

نقل قول:

---

خب این چیزی که تو میگی یک تست کامل از سوئیت مورد نظر هست که باید در ویندوز مجازی صورت بگیره

---

در ست زدی وسط هدف!

تفاوت تست در محیطهایی نظیر Sandboxie و در مقابل تست در ویندوز مجازی، از زمین تا اسمان هست.

من تست در Virtual Machine را قبول دارم. خودت هم میدونی من اکثر تستهام هم روی VM هست. اما Sandboxie نه نه نه نه نباید وارد تست بشه.

ولی من حتی حاظرم روی سیستم اصلیم تست کنم. بارها هم این کارو کردم.......

اگر مطلبی داری بفرما تا بعدش یک تست که یکی دو ماه برام اتفاق افتاد برات تعریف کنم.

مخلصیم شدید:n12: