دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[Jadda]

سلام علیکم

پیرو فرمایشات جناب vtn54 عزیز، باید عرض کنم که اگر تمام لایه های یک سویت امنیتی را خاموش و غیر فعال بکنیم میتوان با HIPS جلوی این مخرب را گرفت. در واقع مزیت سویتهایی که از یک HIPS قدرتمند برخوردارند این است که به عنوان آخرین سد دفاعی و در عین حال قدرتمند و نفوذناپدیر بودن این ماژول، به نظر حقیر یک صلاح کارآمد در برابر این نمونه ها میباشد.

اینجا قصد ندارم وارد مقایسه HIPS ها بشوم، بطور کلی و قطع به یقین HIPS میتواند سدی باشد در برابر این نمونه فوق الذکر؛

تستی که میتوان از این نمونه گرفت میتواند بر این مبنا باشد که در صورت عدم تشخیص این نمونه توسط همه لایه های تشخیص اعم از دیتابیس و کلود و رفتار و ... آیا محصول امنیتی تسلیم میشود؟

در مورد کسپر من فکر نمیکنم که به این گونه باشد، به همان دلیلی که ذکر کردم: HIPS

=====
یک نکته را در مورد کمودو هم بگم و ختم:

پارسال در مورد لولهای مختلف سندباکس کمودو اینجا تست انجام شد و ... نتیجه هم قرار داده شده.

و الان هم من بدون سندباکس و تنظیمات امضام، تست کردم و باز هم طبق فرمایشات جناب vtn54، آنطور که باید جواب HIPS را دادم!

فکر میکنید نتیجه چه بوده؟

این مطلب را برای این نوشتم که یکی از دوستان فرموده بودند که این نمونه توانسته از کمودو رد بشود، و این توضیح بنده نقض گفته ایشان است.

[Karkas20]

ویروس گرفتم از سایت eicar .... پادشاه »کسپر« اسکنش کرد



لینک از سایت اصلی

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اگر تو ایران هیلتر بود :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سلام اریا

باو اینکه شبه ویروسه

شناخته بشه یا نشه چیزی از سوییت کم نمیککنه !

[vtn54]

ویروس گرفتم از سایت eicar .... پادشاه »کسپر« اسکنش کرد



لینک از سایت اصلی

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اگر تو ایران هیلتر بود :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دوست عزیز

این که همان تست معروف Eicar برای تست درست بودن تنظیمات یک آنتی‌ویروس است و تمامی آنتی‌ویروسها به صورت Default آن را می‌شناسند.

[Aria1997]

خب یه سایت مععرفی میکنین من تست کنم ....
هر جا سرچ کردم اینو دادن

[kases]

سلام عزیز

من نمی‌خواهم شما را ترور کنم ولی منظور شما از این تست را متوجه نشدم .
آنطور که در ویدیو دیده می‌شود کاسپرسکی این نمونه را با دیتابیس آپدیت نشده خود نشناخته است ولی هنگام اجرا چون در مورد آن اطلاعاتی در دیتابیس نداشته و نام فایل در لیست سفید نبوده است و نتوانسته از سرویس کلود خودش هم کسب اطلاعات کند و از طریق هوریستیک نیز آن را شناسایی نکرده است از کاربر که شما باشید در مورد نحوه برخورد با فایل سوال کرده است یعنی HIPS وارد عمل شده است وقتی شما گزینه Yes,I Trust را می‌زنید یعنی این فایل به لیست سفید کاسپرسکی اضافه شده و اجازه هر کاری به آن داده می‌شود یعنی در عمل شما HIPS را مانند دیتابیس و کلود از مدار خارج کرده‌اید از طرف دیگر پس از اضافه شدن یک برنامه به لیست سفید کاسپرسکی (Trusted Zone ) ماژولهای مربوط به رفتار شناسی در کاسپرسکی مانند Proacive Defense و یا System Watcher دیگر در مقابل رفتار مشکوک آن فایل واکنشی از خود نشان نمی‌دهند و این یعنی حذف دو لایه دفاعی دیگر!

در ضمن آپدیت یک آنتی‌ویروس تنها به معنی آپدیت دیتابیس سنتی آن نیست حتما می‌دانید که ماژول‌هایی مانند هوریستیک و Proacive Defense و یا System Watcher (در کاسپرسکی) برای خودشان دیتابیس جداگانه‌ای دارند که به صورت مرتب آپدیت می‌شوند.جدا از دیتابیس , خود این ماژولها هم با عرضه پچ‌های مختلف و حتی بدون آن با آپدیت های معمولی (به ویژه در کاسپرسکی) به صورت مرتب بهینه‌سازی می‌شوند لذا آپدیت نکردن یک آنتی‌ویروس تنها دیتابیس آن را تضعیف نمی‌کند بلکه کل ماژولهای دیگر را نیزتضعیف می‌کند.

اگر شما می‌خواهید میزان Protection کلی یک آنتی‌ویروس را تست کنید باید آن را به طور کامل آپدیت کنید و اجازه اتصال به اینترنت را بدهید و به سوالاتی که از شما می‌پرسد پاسخ مناسبی بدهید.
اگر شما می‌خواهید فقط قدرت شناسایی از طریق دیتابیس یک آنتی‌ویروس را تست کنید باید آن را آپدیت کنید.
اگر شما می‌خواهید فقط قدرت پردازش ابری (Cloud Protection) یک آنتی‌ویروس را تست کنید باید اجازه اتصال آن را به اینترنت بدهید.
اگر شما می‌خواهید فقط توانایی HIPS یک آنتی‌ویروس را تست کنید باید به سوالات آن پاسخ مناسبی بدهید (اگر می‌خواهید یک فایل ناشناخته را که نمی‌شناسید و به آن اعتماد ندارید و از همه مهمتر آنتی‌ویروس در مورد احتمال بالای خطر آن به شما اخطار داده است (Having a High Danger Rating ) اجرا کنید باید حداقل گزینه Restrict را انتخاب کنید).
اگر شما می‌خواهید قدرت شناسایی از طریق رفتارشناسی یا Proactive Detection یک آنتی‌ویروس را تست کنید باید بدون غیر فعال کردن ماژولهای مربوط به آن این کار را انجام دهید (همانطور که ذکر شد شما با اضافه کردن این فایل به لیست سفید کاسپرسکی عملا قسمت رفتارشناسی آن را در مورد این فایل از کار انداخته‌اید).
تنها در حالتی که می‌خواهید قدرت شناسایی یک آنتی‌ویروس از طریق هوریستیک را در حالت Default (که در کاسپرسکی ضعیف‌ترین حالت ممکن است) را تست کنید می‌توانید از روش موجود در ویدیو استفاده کنید.

با در نظر گرفتن موارد فوق منظور شما از انجام تست چه بوده است؟ تست میزان کلی Protection کاسپرسکی , میزان شناسایی از طریق دیتابیس , میزان شناسایی از طریق Cloud Protection , میزان توانایی HIPS در محدود کردن برنامه‌های ناشناخته , میزان شناسایی از طریق رفتارشناسی (Proactive Defense ) و یا میزان شناسایی از طریق هوریستیک برای یک برنامه ناشناخته؟

ارادتمند

درود بر استاد vtn54 عزیز

ممنون از اینکه افتخار دادین در این بحث شرکت کردین هر وقت شما پست میدین با دقت میخونم

بله تمام گفته های شما صحیح هست

استاد یه کم حس کاراگاه بازیم گل کرد می خواستم ببینم بعد از اینکه مخرب به لیست سفید انتی ویروسی وارد میشه

ایا انتی ویروس این هوش داره بتونه جلو خرابکاریها بعدی مخرب بگیره یا جفت پا میره تو شکم هارد و هر کاری دلش خواست انجام میده

اینو میدونم تقریبا تمام لایه ای دفاعی کسپر رفت کنار

فکر کنید این مخرب امضای دیجیتالی داشت اونوقت احتمالا اون پیامی که در ویدیو میبینید به کاربر داده نمیشد و با

تنظیمات پیشفرضی که داشت وارد لیست سفید کسپر میشد بدون اینکه کاربر دخالتی کنه؟

تفریبا میشه گفت هدفم همین بود وگرنه تستهایی که در این تاپیک انجام میشه با کل لایه های دفاعی انتی ها انجام

میشه و کسی هم از این تست ها فیلم نمیزاره

این که همان تست معروف Eicar برای تست درست بودن تنظیمات یک آنتی‌ویروس است و تمامی آنتی‌ویروسها به صورت Default آن را می‌شناسند.

بله این تست معروفه Eicar هست اما سوال : شما گفتین تمام سوییت ها اینو میشناختن فکر کنم سال 2009 یا 2008 و یا 2010 دقیقا یادم نیست که کسپر این فایل ویروس نمیشناخت حالا چرا میشناسه؟ شاید بگین کسپر هوش قوی داشته میدونسته این مخرب نیست و یا اینکه بگین سیاست خود کسپر بوده و یا اینکه بگین کاربرا به کسپر فشار اوردن تا این فایل بعد ها شناسایی کنه میشه بیشتر توضیح بدین؟

این مطلب را برای این نوشتم که یکی از دوستان فرموده بودند که این نمونه توانسته از کمودو رد بشود، و این توضیح بنده نقض گفته ایشان است.

بله حق با شماست

البته من ویروسی نشدم

الان که همون فایل رو دانلود کردم درجا حذفش کرد

[A M ! N]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تحت سندباکس اجرا شد@
اینم عکس پروسسهایی که فراخوانی شد ، همگی هم تحت شبکه و دسترسی به اینترنت فعالیت میکردن..
همگی پروسسها توسط آویرا بلاک شدن در انتهای کار..!

[vtn54]

بله این تست معروفه Eicar هست اما سوال : شما گفتین تمام سوییت ها اینو میشناختن فکر کنم سال 2009 یا 2008 و یا 2010 دقیقا یادم نیست که کسپر این فایل ویروس نمیشناخت حالا چرا میشناسه؟ شاید بگین کسپر هوش قوی داشته میدونسته این مخرب نیست و یا اینکه بگین سیاست خود کسپر بوده و یا اینکه بگین کاربرا به کسپر فشار اوردن تا این فایل بعد ها شناسایی کنه میشه بیشتر توضیح بدین؟

سلام عزیز

شما لطف دارید. من از سال 2005 از کاسپرسکی استفاده می‌کنم و در تمامی این مدت تمامی نسخه های کاسپرسکی این فایل را به عنوان ویروس شناخته ‌اند. اگر کاسپرسکی یا یک آنتی‌ویروس دیگر این فایل را شناسایی نکند ایراد از تنظیمات اعمال شده ‌می‌باشد چون این فایل از سال 2003 به این طرف به صورت استانداردی برای تست صحیح بودن تنظیمات یک آنتی‌ویروس وارد دیتابیس همه آنتی‌ویروسها شده است و کاسپرسکی از این قاعده مستثنی نیست.
برای که منظورم را بهتر متوجه شوید همان فایل را از لینک زیر دانلود کنید کاسپرسکی و سایر آنتی‌ویروسها در صورت تنظیمات صحیح باید بتوانند با اسکن ترافیک اینترنتی حین دانلود (نه پس از آن ) جلوی دانلود این فایل را بگیرند:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

در مورد تست قبلی باید این را هم اضافه کنم که متاسفانه تنظیمات Default کاسپرسکی برای محیط های پر خطر و انجام چنین تستهایی مناسب نیست و خیلی از بدافزارها از زیر دست آن در می‌روند برای همین اگر قصد مقایسه با آنتی‌ویروس دیگری در کار نیست (که در این حالت اصولا باید تنظیمات هر دو طرف یکسان باشد) بهتر است قبل از تست بعضی از تنظیمات تغییر یابد تا بهترین نتیجه حاصل شود.

[Jadda]

سلام علیکم

من هم یک ویدئوی کوچولو بزارم از این نمونه و تمام.

البته روی سیستم اصلیم تست کردم!



اولین پیغام را که مربوط به اجرای فایل میشه را Allow کردم (امان از این تستهای ما!!) تا فایل اجرا بشه و ببینم میتونه از دست HIPS کمودو در بره(اینجا شاید کسی بگه البته که نمیتونه! ولی باید عرض کنم برخی HIPS ها نمیتونند همه حملات را دفع کنند، برای نمونه تستهای ماتوسک را بیاد بیاورید که امتیازها متفاوت است!، یا همین تستی که با (CLT) کمودو لیک تست انجام میدیم و نمرات سویتها متفاوت است ). هر چند که اولین پیغام را هم طبق [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] باید بلوک میکردم! و استراتژی بیان شده در مورد این فایلها را اجرا میکردم. بگذریم.

دانلود:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[Karkas20]

سلام علی جان

این مخرب از دست اتوسندباکس کومودو در رفت و تا حدودی فایل های دسکتاپ را پاک و در send to فایل های را پاک کرده !!

اتوسندباکس کومودو در ورژن های قبلی مشکل داشت و گزارش هم داشتیم ولی شاید الان در نسخه جدید مشکل رفع شده باشه.

همین مخربا من با اتوسندباکس کومودو تست کردم و متاسفانه بعضی از فایل ها را پاک کرد و مشکل داشت و مشکل داشته که فعلا رفع شده !


ولی نمیشه نادیده گرفت ! تست بچه ها فقط برای ایراد داشتن اتوندباکس کومودو بود که بچه ها تست کردن و مشکل داشت !

یکی از افراد خود من بودم !

ورژن قبل تست کردم و شاید برای نسخه جدید مشکل رفع شده باشه !

و الان هم من بدون سندباکس و تنظیمات امضام، تست کردم و باز هم طبق فرمایشات جناب vtn54، آنطور که باید جواب HIPS را دادم!

فکر میکنید نتیجه چه بوده؟

این مطلب را برای این نوشتم که یکی از دوستان فرموده بودند که این نمونه توانسته از کمودو رد بشود، و این توضیح بنده نقض گفته ایشان است.

فکر کنم تست شما بدون اتوسندباکس بود و تست دوستان فقط نشان دادن باگ اتوسندباکس بود که مخرب در اتوسندباکس تونسته بود کارهای مخرب خود را انجام داده باشد !


تست با اتوسندباکس یک قضیه و بدون اتوسندباکس یک قضیه دیگر !

تست من هم با اتوسندباکس بود / اگر اتوسندباکس نبود که کومودو سوال میکرد ! : دی


تست من تست پیشفرض تنظیمات کومودو بود و تنظیمات مهران هم براش در نظر گرفته بودم ولی نیومدم تو قسمت دیفنس به برنامه بفهمونم از فایل های دیگر محافظت بکن تا مخرب که ران شد ، از دستکاریش ، دست نگه داره !

سوال: تنظیمات شما علی کدام بود ؟

2. در تنظیمات محافظت از فایل ها شما تغییراتی انجام دادید ؟

3: قسمت اتوسندباکس بروی کدام حالت بود ؟

(امان از این تستهای ما!!)

این جملت یکم برام مبهمه علی جان ؟

[K1lou]

سلام علی جان

این مخرب از دست اتوسندباکس کومودو در رفت و تا حدودی فایل های دسکتاپ را پاک و در send to فایل های را پاک کرده !!

اتوسندباکس کومودو در ورژن های قبلی مشکل داشت و گزارش هم داشتیم ولی شاید الان در نسخه جدید مشکل رفع شده باشه.

همین مخربا من با اتوسندباکس کومودو تست کردم و متاسفانه بعضی از فایل ها را پاک کرد و مشکل داشت و مشکل داشته که فعلا رفع شده !


ولی نمیشه نادیده گرفت ! تست بچه ها فقط برای ایراد داشتن اتوندباکس کومودو بود که بچه ها تست کردن و مشکل داشت !

یکی از افراد خود من بودم !

ورژن قبل تست کردم و شاید برای نسخه جدید مشکل رفع شده باشه !




فکر کنم تست شما بدون اتوسندباکس بود و تست دوستان فقط نشان دادن باگ اتوسندباکس بود که مخرب در اتوسندباکس تونسته بود کارهای مخرب خود را انجام داده باشد !


تست با اتوسندباکس یک قضیه و بدون اتوسندباکس یک قضیه دیگر !

تست من هم با اتوسندباکس بود / اگر اتوسندباکس نبود که کومودو سوال میکرد ! : دی


تست من تست پیشفرض تنظیمات کومودو بود و تنظیمات مهران هم براش در نظر گرفته بودم ولی نیومدم تو قسمت دیفنس به برنامه بفهمونم از فایل های دیگر محافظت بکن تا مخرب که ران شد ، از دستکاریش ، دست نگه داره !

سوال: تنظیمات شما علی کدام بود ؟

2. در تنظیمات محافظت از فایل ها شما تغییراتی انجام دادید ؟

3: قسمت اتوسندباکس بروی کدام حالت بود ؟




این جملت یکم برام مبهمه علی جان ؟

با سلام
برای تست ویروسها با کومود علاوه بر تنظیمات اول تایپیک باید حتما این تنظیمات رو هم داشته باشیم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نمی دونم چرا همزمان با سایر مطالب توی صفحه اول تایپیک قرار نگرفت خودم دو روز بود داشتم دنبالش می گشتم
از مدیران می خوام حتما به صفحه اول اضافه کنن

اتوسندباکس کومودو در ورژن های قبلی مشکل داشت و گزارش هم داشتیم ولی شاید الان در نسخه جدید مشکل رفع شده باشه.

منو یاد این جواب دکتر dr hanlbal به خودم انداخت شاید شبیه به هم باشن

اول باید این رو در نظر داشته باشید که همه ی محصولات باگ دارند ، از کمودو بگیرید تا نود32 ،

خب اون باگی که اون دوست عزیز اعلام کردند میشه گفت یا وجود نداره یا اگر داره فقط در ویندوز ایشون یا خیلی محدود اتفاق افتاده ، چون هم من هم هزاران کاربر دیگه که ویندوز 64 بیتی داریم این مشکل رو نداریم ، در ضمن شما ویندوز 32 بیتی دارید پس اصلا لازم نیست بهش فکر کنین درصورتی که 64 بیتی هم داشتین میدید که این اتفاق نمی افته.

باگ بعدی سلف دیفنس کمودو هست که به خودی خود ایرادی رو ایجاد نمیکنه و من و بقیه خیلی واسش فیلم و سریال گذاشتیم ، و وقتی باگ سوم رو توضیح بدم و روش مقابله باهاش رو بگم این باگ هم رفع میشه !

باگ سوم دور زدن سندباکس در درجات مختلف هست ،

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ،

به اضافه این فایل برای تست خودتون: (اینجا تست کنید)

همونطور که دیدید سندباکس در 3 درجه قابل دور زدن هست ، (البته در اونجا 2 درجه توضیح داده شده)

برای رفع این مشکل:

این عکس رو اینجا نمیذارم چون سنگینه:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خب به همون مسیر که توی شکل نمایش دادم برید و روی اون Executable دبل کلیک کنید ، خب حالا روی لیستی که داده ، از زیر گزینه های Executable کلیک راست کنید ، add بزنید و بالا پنجره جدید به اسم add new item این گزینه که من اضافه کردم رو بزنید:

کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

تایید کنید ، در آخر باید مثل عکس من اون فایل زیر رده executable بشه حالا با همون شبه ویروسی که من ساخته بودم تست کنید ببینید اگر فایل ها این بار آسیب ندیدن یعنی باگ دوم و سوم رفع شدن و ویروسی نمیتونه به فایلی آسیب بزنه.

موفق باشید.

در هر صورت توی این نمونه دکتر هم چون اون تنظیمی که دکتر گفتن و توی پستی که براتون گذاشتم هم هست می بینیم که سند بوکس نمی تونه خوب عمل کنه

فیلم و عکس احتمالا پاک شدن که مهم نیست . فقط تنظیمات رو نشون میده دور زدن سند بوکس رو
با تشکر