دانلود ویروس، تروجان، بررسی مخرب ها و تست آنتی‌ویروس ╣══ مقررات پست اول حتما مطالعه شود ══╠

[jolan57]

منم با قسمت زیادی از حرفات موافقم و به خصوص این قسمت که سندباکس در تست اختلال ایجاد میکنه ولی بازم میگم که این تست در نوع خودش میتونه جالب باشه
خود من هم صددرصد تست های واقعی رو بیشتر دوس دارم ولی با این محدودیت های تعویض ویندور و آپدیت مجدد آنتی ویروس و این مسائل نمیشه همه ویروس ها رو تست کرد مگر اینکه یک روز قرار بذاریم و سوئیت های مختلف رو با یک ویروس مشخص تست کنیم که به نظرم میتونیم این کار رو حداقل ماهی یک بار انجام بدیم

اگر مطلبی داری بفرما تا بعدش یک تست که یکی دو ماه برام اتفاق افتاد برات تعریف کنم.

منتظریم
و در آخر این قلب هم هدیه به تو : دی

سندباکس میتونه ضعفها و مسایل فنی مربوط بخودش رو داشته باشه، همونطور که دوستان اشاره کرده اند...و این میتونه نتیجه تست رو نامعتبر و غیر دقیق کنه.
.

سلام
تا اونجا که من میدونم هنوز هیچ ویروسی نتونسته سندباکس رو دور بزنه

[Arash4484]

سلام
تا اونجا که من میدونم هنوز هیچ ویروسی نتونسته سندباکس رو دور بزنه

دقیقن همین مکانیسم پرقدرت ایجاد مشکل میکنه.
شاید واضح نگفتم: مشکلات و ضعف در هدفِ تست ویروس منظورم بود، نه در حفاظت و مهار ویروس.
همونطور که خودتون گفتید:

سندباکس در تست اختلال ایجاد میکنه

[Jadda]

سلام مجدد خدمت دوستان

ببینید من یک نظری داشتم که بیان کردم. خلاصه حرفم هم اینه: برای تست واقعی از Sandboxie نباید استفاده بشه


با توضیحاتی که صفحه قبل دادم فکر هم نمیکنم دیگه کسی باهاش مخالف باشه. حتی آرش عزیز، که البته من وقتی پست قبلیم را مینوشتم مطالب ایشون را ندیدم..... به هر حال حتی ایشون هم مخالف این نظر من نیستند.

اما نکته مهم دیگه اینه که برای من اصل همون چیزی هست که ذکر کردم. و در مقابل هم اصلا دوست ندارم سیستم کسی آلوده بشه. حتی اگر 1 درصد هم فکر میکنید که احتمال خطر هست. میتونید از سندباکس استفاده کنید. ولی در کنارش یادتون باشه که داستان چی هست... اگر مخرب در سندباکس غیر اجرا بشه سویت شما فقط در آزمون شناسایی شرکت کرده.

حالا که اینو فهمیدیم، هر کسی میتونه از Sandboxie استفاده کنه. فقط به این دلیل که دلمون نمیخواد کسی اینجا آلوده بشه و در کنار تست هوای همدیگه رو هم داریم. ولی اینها دلیل نمیشه اصول تست یادمون بره.

======

در پرانتز: (فقط دیدم جناب آرش دست روی برد و باخت و شکست و .... اینها گذاشته، واجب دیدم عرض کنم که اتفاقا بنده اصلا این مطالب را برای برد و باخت عرض نکردم. من اگه گفتم از ابزارهایی نظیر سندباکسی استفاده نباید بشه. دلیلشو عرض کردم، میتونید بخونید. من حتی اینجا در دوره های مختلف برای اینکه از این موارد مبرا باشم دوره های طولانی مخربی قرار ندادم تا ناخواسته خودم را در معرض این اتهام که به دلیل استفاده از یک آنتی ویروس خاص و جهت دادن تستها و نتایج میاد=> جهت دار ویروس میزاره، بیشتر سعی کردم تست کننده باشم تا ویروس گذار، )

=====

منتظریم

ببین، من یکی دو ماه پش یک مخرب را اجرا کردم و پیغامهای HIPS را هم همه را یکی یکی مسدود کردم، ظاهرا همه چیز عادی بود؛ اما وقتی سیستم ریستارت شد.... دیگه کومودو بالا نیومد!

چندین بار اینو تست کردم، نتیجه همون بود که بود! (البته روی محدودکننده رفتار کومودو تست نکردم)

با تیم کومودو مطرح کردم و نمونه میتونست یک بخش از نظارت HIPS را دور بزنه. نمونه از یک طریق خاص به یک دسترسی میرسید که از چشم کومودو خارج بود. البته در نسخه جدید نمیدونم روش کار کردن یا نه، متاسفانه نمونه را هم از دست دادم و در اختیار ندارم.( توی سیستمم لابلای مخربهام گم شد)

خب، اگر این نمونه در Sandboxie اجرا میشد ایا کومودو محک میخورد؟ محصولات دیگر وضعشون چجوریه؟ چند تا از این نمونه ها میتونند از زیر دستشون رد بشن؟ یکی دوتا سه تا .....

شاید من (یا هر کس دیگری) یک نمونه اینجا قرار دادم که خواستم عمدا این مورد را تست بکنم، خواستم بولگارد شما را تست بکنم، اما شما با Sandboxie این شانس را به محصولت نمیدی که محک بخوره، بعد میایید میگید در سندباکس تست شد... شناسایی نشد، ...اتفاقی نیفتاد....اسکن کردم و شناسایی نشد، منم اجراش نکردم. .. و و و و .... منم توی دلم میگم محصول شما تست نشد! چون آنتی ویروست رفت پشت Sandboxie قایم شد.

این اتفاق میتونه بارها و بارها برای یک سوییت بیفته، ناک اوت بشه، آلوده بشیم، ویندوز درب و داغون بشه، فایلها قفل بشن، ویندوز بالا نیاد، اطلاعاتمون بپره و غیره. . . .

====

مطالبی که عرض کردم برای تستهای اصولی و حرفه ای است، اما بازم میگم دوستان حتما مراقب باشند، از هر چیزی که میتونید برای احتیاط استفاده بکنید، ولی اصل یادمون باشه.

[kases]

ولی تست ما فقط محدود به قسمت اول تست بالا میشه یعنی اجرای مخرب و اگر سوئیت بر اساس رفتارهای مخرب اون رو شناسایی کرد که محصول ما از این تست سربلند بیرون اومده و اگر این کار رو نکرد شکست خورده و تست تمام میشه!

سلام عباس برادر عزیزم

من مواردی دیدم که با اجرای مخرب با وجود رفتار شناسی انتی ویروسی مثل نورتون مخرب تو سیستم پخش شده
چند وقت پیش بر روی یه مخربی با نورتون تستی داشتم با اجرای مخرب سونار نورتون وارد عمل شد و الارم داد که تهدیدی رو از رو سیستم پاک کرده اما این پایان ماجرا نبود در اصل سونار بخشی از یک مخرب از رو سیستم پاک کرده بود هنوز بخشهایی از مخرب تو سیستم در حال فعالیت بودن و با شبکه در ارتباط سونار بعد از اجرای مخرب فقط قسمتی از مخرب رو شناساسیی کرد بقیه فایلها رو نتونست از تو سیستم جمع کنه
پس اینجا حتی بعد از رفتار شناسی هم نمیشه گفت باز هم مخرب از رو سیستم تماما پاک شده
اینو گفتم که بگم اگر مخرب تو سندباکس اجرا شده بود من اصلن متوجه نمیشدم این مخرب تیکه هایی از خودش رو تو قسمتهای مختلف کپی کرده و هنوز داره فعالیت میکنه.پس تستی که با سندباکس صورت میگیره و انتی ویروس میتونه رفتار شناسی کنه باز هم نمیتونه دلیلی بر جمع کردن کل تهدید از رو سیستم اصلی باشه

فدات

[aylar6888]

سلام :
من شخصا از دیدن پستهایی بعد از مدتها که آموزنده بود خیلی خوشحال شدم و یاد گرفتم...
فقط دو تا سوال داشتم :
1- استفاده از مجازی سازهای دیگه که روش محافظتشون مثل سند باکسی نیست مثلا shadow defender یا deep freez هم معتبر و قابل استناد هست؟
2- میدونم دوستان زیادی از نرم افزارهای بالا برای تست استفاده میکنن و من شخصا shadow defender رو هم روی سیستم اصلی و هم مجازیهام دارم ..سوالم اینه که مخربی بوده یا هست یا کسی اطلاع داره که این نرم افزار و دور بزنه و اینکه بعد از خارج شدن از محیط و ریستارت ویندوز اثرات یا خود مخرب باز هم روی سیستم مونده باشه یا خیر...
باز هم از دوستان بخاطر درسهایی که به من میدید ممنونم

[Jadda]

سلام :
من شخصا از دیدن پستهایی بعد از مدتها که آموزنده بود خیلی خوشحال شدم و یاد گرفتم...
فقط دو تا سوال داشتم :
1- استفاده از مجازی سازهای دیگه که روش محافظتشون مثل سند باکسی نیست مثلا shadow defender یا deep freez هم معتبر و قابل استناد هست؟
2- میدونم دوستان زیادی از نرم افزارهای بالا برای تست استفاده میکنن و من شخصا shadow defender رو هم روی سیستم اصلی و هم مجازیهام دارم ..سوالم اینه که مخربی بوده یا هست یا کسی اطلاع داره که این نرم افزار و دور بزنه و اینکه بعد از خارج شدن از محیط و ریستارت ویندوز اثرات یا خود مخرب باز هم روی سیستم مونده باشه یا خیر...
باز هم از دوستان بخاطر درسهایی که به من میدید ممنونم

سلام

کلا دو نوع مجازی سازی دارم. light virtualization و fully virtualized OS

ابزاری مثل Shadow Defender در گروه light virtualization قرار میگره. کلا محیطهای مجازی از نوع (light virtualization) نظیر Shadow Defender یا Comodo Time Machine یا ... میتونند سیستم شما را از هر گونه تغییر فایل/پوشه ها/رجیستری/برنامه ها مصون نگه دارند. ولی عملا باید در تستها مشخص بشه که کدام یک از این ابزارها قدرت بیشتری در این امر دارند و کدامیک ایرادات بیشتری دارند.

هیچ چیز کامل نیست، در گذشته نمونه هایی مثل SafeSys یا TDSS میتونستند این ابزرها را دور بزنند یا به عنوان مثال تروجان Sinowal قادر بود نسخه های قدیمی ترShadow Defender را دور بزنه.

در مورد Shadow Defender حفاظت از بخش MBR میتونه هنوز محل تردید باشه، هر چند توسعه دهندگانش فقط به این جمله که ما از MBR حفاظت میکنیم بسنده کردند. فقط موردی که باید عرض بکنم اینه که اگر از این ابزارها استفاده میکنید حتما اونها را مرتب بروز رسانی بکنید.

هر چند انجام تستها در محیط مثلShadow Defender هم بد نیست، چون snapshot میگره قبل از تست و بعد سیستم در اختیار مخرب قرار میگره.
ولی در کل Virtual Machine به دلیل قابلیت full virtualization operating system از اعتبار بهتری برای انجام تستها برخوردار است.

[mehrshadmmm]

دوستان اکثرا از ورژن های کرک شده استفاده می کنن دیگه؟
یعنی هیچ تفاوتی بین عملکرد ورژن های کرک شده با خریداری شده وجود نداره?شرکت ها مگه شناسایی نمیکنن این یوزر ها رو؟

Sent from my GT-S5830 using Tapatalk 2

[Jadda]

دوستان اکثرا از ورژن های کرک شده استفاده می کنن دیگه؟
یعنی هیچ تفاوتی بین عملکرد ورژن های کرک شده با خریداری شده وجود نداره?شرکت ها مگه شناسایی نمیکنن این یوزر ها رو؟

Sent from my GT-S5830 using Tapatalk 2

سلام

نمیخوام زیاد بحث بکنم و دلیل و ادله بیارم. بنابراین فقط میتونم بگم در این تاپیک که اتفاقا همه چیز حول محور عملکرد محصولات هست. هنوز هیچ کاربر اورجینال سواری نتونسته اینجا این ادعا را ثابت بکنه.

البته یک تفاوت وجود داره، ساپورت!

البته تا ساپورت را چی معنا بکنیم.... حل مشکل، خب آنتی ها انجمن دارند و میتونید مستقیما از طریق انجمن ها کمک بگیریم.( منظور انجمن خودِ کمپانیهای آنتی ویروس هست) یا لایسنس شما بسوزه از کار بیفته، خب ما که بهش سریال تزریق میکنم. در غیر این صورت اگر ساپورت معنی دیگری داشته باشه میشه گفت ما از پشتیبانی محرومیم. همین و بس.

[mehrshadmmm]

ممنون.
قبلا میگفتن شرکت ها میتونن لایسنس های فیک رو شناسایی کنن و کاربر رو به سرور آپدیت مخصوص بفرسته که آپدیت های کامل رو نگیره...یه جا خوندم که اصلا تروژان دانلود می کنه یا حتی برنامه های فری مثل آویرا دستگاه رو به یه لابراتوار تبدیل می کنه که یه سری ویروس توش امتحان بشن
اینجا تا حالا کسی تفاوت عملکردی بین این دو تا ندیده اصلا؟؟

Sent from my GT-S5830 using Tapatalk 2

[jolan57]

ممنون.
قبلا میگفتن شرکت ها میتونن لایسنس های فیک رو شناسایی کنن و کاربر رو به سرور آپدیت مخصوص بفرسته که آپدیت های کامل رو نگیره...یه جا خوندم که اصلا تروژان دانلود می کنه یا حتی برنامه های فری مثل آویرا دستگاه رو به یه لابراتوار تبدیل می کنه که یه سری ویروس توش امتحان بشن
اینجا تا حالا کسی تفاوت عملکردی بین این دو تا ندیده اصلا؟؟

Sent from my GT-S5830 using Tapatalk 2

کل این حرف ها یه طرف این حرفم یه طرف !
ا حتی برنامه های فری مثل آویرا دستگاه رو به یه لابراتوار تبدیل می کنه که یه سری ویروس توش امتحان بشن
نمیدونستم این شایعات پای سبزی پاک کردن به دنیای امنیت هم وارد شده !
تاپیک زیر بحث کاملی در این مورد شده و میتونید مطالعه کنید چون این تاپیک تست ویروس است و نه این مباحث
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]