KAV7,KAV8,Threatfire,Behavior Blocker

[mehdi56]

سلام به دوستان:

سعادتی شد دوباره با شما باشم.

قبل از هر قضاوتی درباره ی نوشته های زیر باید به اطلاع دوستان برسونم که این فقط یک امتحان کوچولوی این نرم افزارهای امنیتی زیر است و نمی شود بر اساس یک تست ساده درباره ی آنها قضاوت کرد و قصد نفی یا پیشنهاد این نرم افزارها هم در کار نبوده است. این فقط یه تست ساده آن هم فقط از سرویسهای Behavior Blockerآنهاست که هر کدام از شما نیز می توانید آن را به راحتی انجام دهید.(البته همین نوشته ها رو بخونید کفایت می کنه و بهتره که این کارو انجام ندید.)
این تست بر روی KAV 8.0.0.357 Final و KAV 7.0.0.125و Threatfire 3.0.11.0 انجام شده است.
و با حضور kazme__gheyz ! کرم یا تروژان شایعی که احتمالا همه آن را می شناسید. و بیشتر از طریق فلش دیسکها به کامپیوتر های خانگی منتقل شده است. البته این تست ورژن جدید این کرم است که خیلی از سیستمها را به هم ریخته است. لازم به ذکر است در ابتدای شیوع آن تقریبا تمامی آنتی ویروسها از شناسائی آن عاجز بودند از جمله Kaspersky و NOD32 . و این یعنی اینکه ما در لحظات اولیه یا باید به هوش مصنوعی NOD تکیه می کردیم یا به PDM کاسپرسکی. یا شاید هم به هوش خودمان.
چند تا از خرابکاری های این کرم این است که به محض اجرا شدن آنتی ویروسهایKaspersky و NOD32 را از کار می اندازد (البته با تاکید بیشتر برای این دو آنتی ویروس. ولی معمولا به بقیه کاری ندارد) و کلیدهای رجیستری آنها را کاملا خراب میکند و حتی اجازه ی نصب دوباره به آنها نمی دهد.(حتی پس از پاک شدن کامل این کرم!).Safe Boot را از کار می اندازد و ما نمی توانیم سیستم را از Safe Boot راه اندازی کنیم. در واقع رجیستری SafeBoot را کاملا نابود می کند. و کلی کارهای بدرد نخور دیگه!
در این تست بر خلاف انتظاراین KAV 8.0.0.357 Final است که Fail می شود! و تسلیم می شود!!!
البته با این اوضاع تولید این نوع نرم افزارها زیاد هم نباید انتظاری داشت. آنتی ویروسها شدن اسباب بازی و هر روز رنگ و رو عوض می کنن و کت و شلوار! اون از NOD32 که به غیر از گرفتن منابع سیستم و رنگ و رو عوض کردن کار دیگه ای در ورژن 3 انجام نداد حتی به کارهائی که ادعا داشتند و در خود نرم افزار راجع به آن شرح مفصلی دادند نتوانستند عمل کنند. به عنوان مثال بیرون کشیدن و پاک کردن فایل آلوده از درون فایلهای زیپ شده و فشرده و کار نداشتن به فایلهای سالم. کاری که حداقل Kaspersky اونو انجام میده. و اون هم از کاسپرسکی که با این سوتی هایی که میده آدم می مو نه که بالاخره کی باید به این آنتی ویروس اعتماد کنه . حداقل برای من که اینطوری بوده به جای اینکه به کاربرهای حرفه ای شون اهمیت بدن یسره زدن تو کار فوتوشاپ و کار گرافیکی!!! بگذریم.
من فکر می کنم کاسپرسکی 8 در دفاع از رجیستری مشکل دارد چون خود پروسه های مخرب را شناسائی می کند و علت مشکل چیست رو باید از خودشون پرسید. مثل اینکه در پروسه ی ساده سازی آنتی ویروس جوگیر شدن و یه چیزایی هم از زیر دستشون در رفته و پاکش کردن!
عکسهای زیر به ترتیب، عکس العمل هر نرم افزار را نمایش می دهد.

KAV 7 :







موفقیت KAV 7 .

Threatfire :




موفقیت Threatfire.

KAV 8 :











و در نهایت شکست کاسپرسکی 8.

لازم به ذکر است که در تمامی نرم افزارها گزینه ی Terminate یا قرنطینه انتخاب شده است و اجازه ی اجرا در هیچ کدام داده نشده است.


http://rapidshare.com/files/121455271/KAZME__GHEYZ.rar.html

[*Batman*]

سلام.

در مورد نحوه برخورد آنتی ویروس با فایلهای زیپ شده کاملا با شما موافقم.ولی با یک ویروس نمیشه قضاوت کلی کرد.
راستی آنتی ویروس را بعدا ز اجرای ویروس تست کردید؟

[rayanehkhabar]

این تروجان generic را nod32 و کاسپر هیچکدوم نمی تونن بگیرن و باید دستی پاکش کرد.

[vtn54]

سلام به تمام دوستان عزیز

مهدی جان به خاطر پست مفیدتان ممنون هستم .می دانم در این فوروم جزو اولین کسانی هستید که به اهمیت

سیستمهای دفاعی مبتنی بر رفتار (Behavioral Based ) پی برده اید و پست آموزنده تان را در مورد Threatfire به خاطر دارم.

همانطور که حتما می دانید سیستم دفاعی مبتنی بر رفتار در نسخه 8 بسیار قویتر و کاملتر از نسخه های قبلی بوده و

تنها محدود به PDM نمی شود و همراه با فایروال و Application Filtering یک سیستم دفاعی بسیار محکم را تشکیل

داده است که HIPS نامیده می شود.بنابراین برای من باورکردنی نیست که نسخه 8 در مقابله با یک بدافزار خاص از

نسخه 7 ضعیف تر باشد و احتمال می دهم که یا نسخه ای که شما نصب کرده اید یا تنظیمات آن مشکل داشته باشد

بنابراین با اجازه شما من تست را روی سیستم خودم دوباره انجام دادم .

سیستم عامل من ویستا 32 بیت است و از آنجا که احتمال می دادم ممکن است UAC با کارکرد این کرم تداخل داشته

باشد برای این که محیط تست تا حد ممکن با XP یکسان باشد UAC را غیر فعال کردم .

برای جلوگیری از تداخل سایر نرم افزارهای امنیتی همگی آنها منجمله ویندوز دفندر را از کار انداختم .

کاسپرسکی برخلاف اعتقاد بسیاری از دوستان این کرم را از طریق دیتابیس شناسایی و به راحتی پاک می کند :



ولی از انجا که قصد ما امتحان سیستم دفاعی مبتنی بر رفنار این آنتی ویروس است من همانطور که در شکل زیر می بینید

در قسمت تنظیمات File and memory protection را از کار انداختم .با این کار هم هوریستیک و هم File Anti-Virus

از کار می افتند یعنی کاسپرسکی نمی تواند نه از طریق دیتابیس و نه از طریق هوریستیک این کرم را شناسایی کند :



توجه داشته باشید که من از کاسپرسکی در حالت Interactive استفاده می کنم.

من فایل KAZME__GHEYZ.EXE را اجرا کردم .کاسپرسکی پس از یک آنالیز کوتاه با توجه به رفتار این فایل ( دست

اندازی به رجیستری و Startup , دست اندازی به پروسه های دیگر , تلاش برای نصب درایورهای مخفی و فایلهای Autorun و .... )

بلافاصله به صورت اتوماتیک فایل را به گروه Untrusted می فرستد :



در این مورد حتی از کاربر سوال نیز نمی کند تنها یک پیغام کوتاه به شکل زیر برای اطلاع کاربر نشان داده می شود .

در نتیجه حتی احتمال اشتباه کاربر نیز وجود ندارد :



چون فایل مزبور به گروه Untrusted اضافه شده است پس طبق قوانین همین گروه با ان رفتار می شود .برنامه هایی

که به این گروه فرستاده می شوند اجازه اجرا ندارند , اجازه اتصال به اینترنت را ندارند , اجازه دسترسی به رجیستری

, Startup , فایلهای سیستمی و تنظیمات و قسمتهای حیاتی سیستم عامل را ندارندیعنی در حقیقت به طور کامل

بلوک می شوند .حتی کاسپرسکی اجازه دسترسی پروسه های دیگر مانند ویندوز اکسپلورر را نیز به انها نمی دهد

و نتیجه نهایی :



همانطور که می بینید کاسپرسکی حتی اجازه دسترسی ویندوز را نیز به این فایل نمی دهد و نه تنها کاسپرسکی از

کار نمی افتد بلکه کرم به صورت کامل بلوک می شود و توانایی آسیب به سیستم را ندارد.توجه داشته باشید که

کاسپرسکی برای این کار از دیتابیس خود استفاده نمی کند و برای آنتی ویروس این یک بدافزار ناشناخته است .

من برای اطمینان بیشتر کل سیستم را پس از این کار اسکن کردم که خوشبختانه هیچ اثری از الودگی مشاهده نشد.

همانطور که می بینید نتایج آزمون من با مال شما کاملا متفاوت است .از انجا که من تنظیمات Default برنامه را ( البته

جز مورد تبدیل به حالت Interactive ) تغییر چندانی نداده ام پس احتمالا شما یا تنظیمات برنامه را دستکاری

کرده اید یا Application Filtering را غیر فعال کرده اید ( که در این مورد کار درستی نیست چون Application Filtering

جز اصلی HIPS را تشکیل می دهد ).

من باز به خاطر این تست از شما تشکر می کنم زیرا فرصت مغتنمی است تا دوستان عزیز نتایج مقابله این نسخه و

در کل سیستمهای دفاعی مبتنی بر رفتار را در مقابل یکی از شایعترین انواع تهدیدات اینترنتی ببینند.

تا انجا که من می دانم در حال حاظر نسخه 8 کاسپرسکی تنها اینترنت سکریتی است که تا به این

حد از این نوع سیستم دفاعی بهره می گیرد .البته این سیستم شکست ناپذیر نیست ولی در حال حاظر میزان

شناسایی بدافزارهای جدید و ناشناخته توسط HIPS موجود در نسخه 8 کاسپرسکی ( 68 در صد ) بیشتر از

هوریستیک معروف نود 32 ( 57 درصد ) و اندکی کمتر از هوریستیک آنتی ویر ( 72 درصد ) است ( و احتمالا

حتی بیشتر از 68 درصدچون این سیستم پس از انجام آخرین تست تکامل بیشتری پیدا کرده است ).

[vtn54]

در ضمن برای دوستانی که علاقمند هستند من نتایج آنالیز کامل این کرم ( را که می تواند برای پاک کردن دستی آن بسیار

کمک کننده باشد ) همراه با نتایج اسکن آن در Virus Total را برایتان می گذارم :



نتایج آنالیز کامل :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[mehdi56]

سلام دوباره به دوستان عزیز

قبل از هر چیز از دوستان گرامی مخصوصا vtn54عزیز بابت ارسال پاسخ تشکر می کنم.و از دوستان بدلیل ارتباط دیر خودم با شما عذر خواهی می کنم.
دوستان گرامی، هدف من و شما از ارسال پست کمک به خودمان در وحله ی اول و دیگر دوستان در مرحله ی بعدی و تبادل اطلاعات است. و در آخر امید مفید فایده بودن برای دوستان است. و خدای نکرده قصد گمراه کردن دیگر دوستان وجود ندارد.
و در آخر ادامه ی بحث خودمان. من پاسخ سئوال های دوستان را به شکل کلی در زیر بیان می کنم:

الان دیگر این کرم را تقریبا همه ی آنتی ویروس ها می شناسند و جای نگرانی نیست. همانطوری که دوست خوبم vtn54 در بالا نتایج اسکن را برای ما قرار داده اند. و دوباره می گویم که در این تست فقط PDM کاسپرسکی فعال بوده است.
دوست خوبم Vtn54 ، من در این تست از Kaspersky Anti virus 7,8 استفاده کرده ام و نه از kaspersky internet security آن.و در ضمن شما نیز می دانید که لازمه ی یک تست عادلانه بر روی نرم افزار های امنیتی دست نزدن به تنظیمات آنهاست و اگر قرار باشد که تنظیمات دستکاری شود که نتیجه معلوم خواهد بود.
همانطور که شما نیز اطلاع دارید تکنولوژی HIPS در اینترنت سکوریتی کاسپرسکی بکار رفته است و آن هم بدلیل خاصیت حفاظت اینترنتی آن است یعنی محافظت Online . همانطور که خودشان نیز این تکنولوژی را در قسمت Online security دسته بندی کرده اند. هر چند محافظت Offline نیز می تواند بر عهده ی آن باشد. به عبارت ساده تر خاصیت Firewall دارد و می تواند به حفاظت از مخرب های اینترنتی به فایروال کمک کند. همانطور که فایروال معروف comodo نیز اخیرا از آن استفاده کرده است.و سالهای پیشتر نیز خیلی از نرم افزارهای امنیتی از آن استفاده می کرده اند.(دوستان دیگر برای اطلاعات بیشتر می توانند در اینترنت جستجو کنند)
پس به همین علت است که این تکنولوژی در آنتی ویروس آن بکار نرفته و فقط در اینترنت سکوریتی آن برای کمک به فایروال بهره گرفته شده است.و از سرویس PDM جدا است.در واقع اگر نیاز بود در آنتی ویروس کاسپرسکی هم بکار گرفته می شد.

شما نیز می دانید که نرم افزار هایی از اجرای پروسه ها محافظت می کنند. کارشان کاملا از Behavior Blocker ها جداست و تعداد آنها نیز کم نیست و از جمله ی آنها همانطور که قبلا هم نام بردم می توان به Dynamic Security Agent اشاره کرد. که نظارت بر رجیستری و Startup و ... نیز بر عهده دارند. بعبارت دیگر بر خلاف Behavior Blocker ها فاقد هوش مصنوعی و غیر هوشمند عمل می کنند و اجازه ی اجرا را از خود ما می گیرند یا از لیست بخصوصی استفاده می کنند. که اسامی نرم افزار ها یا پروسه های مخرب و یا برعکس غیر مخرب را دارد و هر پروسه ای غیر از آنها را بترتیب غیر مخرب یا مخرب می شناسد و تصمیم هایی را که می گیرد بر اساس لیست شناخته شده ی خودش است یا اجازه ی اجرای پروسه را از ما می گیرد و کاملا غیر هوشمند هستند.و آنگاه فعالیت های آنها را محدود می کنند یا کاملا سد می کنند.( بر خلاف Behavior Blocker ها).

منظور از جملات بالا این است که اگر کاسپرسکی 7 می تواند در این تست موفق شود چرا کاسپرسکی 8 نمی تواند.(باز متذکر می شوم که منظور KAV است نه KIS )
پس بحثمان را بر روی KAV می بریم. نتیجه ی تست می تواند دو علت داشته باشد یا اینکه قسمت محافظت از رجیستری از KAV به KIS منتقل شده که در اینصورت PDM در KAV8 ناقص است.که این نیز خود جای بحث دارد. یعنی اینکه KAV8 چطور توانسته بدون نظارت بر رجیستری، رفتار مخرب خود پروسه ها را تشخیص دهد.(چون دفاع از رجیستری جزء لاینفکBehavior Blocker است). پس این حالت از نظر من هم غیر منطقی است.در بالا توضیح دادم که دفاع از رجیستری جزء مهم (البته در بعضی جاها این جزء وجود ندارد و اشکالی هم ندارد) نرم افزارهای Application defend که کارشان جلوگیری از اجرای پروسه هایست که ما مشخص کرده ایم یا از لیست های سفید و سیاه بیرون کشیده اند، می باشد.
حالت دیگر این است که در حفاظت از رجیستری مشکل دارد که این منطقی تر به نظر می رسد.
و حالت بعدی که مد نظر من است این است که اصلا PDM ورژن 8 در (KAV) مشکل دارد. و ناقص است. چرا که KAV7 کاملا در این تست موفق شده است.

[vtn54]

سلام مهدی جان

خوشحالم که شما را دوباره می بینم .در مورد تفاوت KIS و KAV باید خدمتتان عرض کنم که HIPS (جز در مورد عدم وجود

فایروال در KAV ) در هر دو کاملا یکسان است و حتی اخیرا در فوروم کاسپرسکی خواندم که HIPS موجود در KAV حتی از

KIS هم کامل تر است .پس اصولا از این لحاظ نباید تفاوتی موجود باشد و مطمئنا Application Filtering که جز اصلی این

سیستم را تشکیل می دهد در KAV نیز وجود دارد.

اما من در مورد متفاوت بودن HIPS با PDM با شما اختلاف نظر دارم .HIPS یا همان Host Based Intrusion Preventon System

همانطور که از نامش پیدا است برادر بزرگتر PDM است .در نسخه های قبلی کاسپرسکی PDM هم وظیفه شناسایی و

هم بلوک بدافزارها را ( بر اساس رفتار انها ) به عهده داشت ولی در نسخه جدید PDM فقط وظیفه شناسایی بدافزارها را

بر عهده دارد و پس از طبقه بندی این تهدیدات بر اساس رفتارشان انها را به Application Filtering معرفی می کند و وظیفه

بلوک کردن بدافزار مهاجم به عهده Application Filtering است مثلا به Rule های موجود در مورد رجیستری در گروه

Untrusted نسخه 8 توجه کنید ( البته در سیستم عامل XP تعداد آنها بیشتر بوده و این سیستم کامل تر است ) :



PDM و Application Filtering هر دو جزیی از یک سیستم به شمار می روند و از هم مجزا نیستند و منصفانه نیست از

PDM انتظار داشته باشیم کاری را بکند که برای آن طراحی نشده است . در حقیقت PDM در این نسخه حتی کامل تر

هم شده است ( به تفاوت تعداد اخطارهای بین دو نسخه در تست خودتان دقت کنید ) .تفاوت تنها در این است که در

این نسخه وظیفه بلوک کردن از PDM به Application Filtering منتقل شده است و این به خودی خود عیب نیست چون

قرار نیست این دو جدا از هم مورد استفاده قرار گیرند.

[mehdi56]

سلام

فقط خواستم که چند تا عکس از محیط KAV8 برای دوستان قرار بدم که با توضیحات خودشون نشون می ده که Application Filtering و HIPS فقط در KIS8 وجود داره و در KAV8 وجود نداره.
بهر حال من در پست قبلی به دوستان گفتم که کسپرسکی ورژن 7 و Threatfire کار خود را بعنوان یک Behavior Blocker به خوبی در مقابل این کرم انجام دادند بدون داشتن هیچ HIPS ی ی ی و تنها کسپرسکی آنتی ویروس 8 نتوانست در برابر آن دوام بیاورد. خودتان نیز می توانید امتحان کنید. البته قبل از اجرای این کرم یک restore point در system restore درست کنید تا دوباره به حالت قبل از آلودگی بتوانید برگردید.
اگر وظیفه ی PDM دفاع سیستم در برابر این مخرب نیست این سوال پیش می آید که مگر کسپرسکی ورژن 7 ،PDM نبود که آن را بطور کامل بلوک کرد،قبل از اینکه هیچ تکنولوژیی بعنوان HIPS وجود داشته باشد. و با همان تکنولوژی تکامل نیافته.
و در آخر امید داریم که با فعالیت تیم کسپرسکی این مشکل هم حل بشود. انشاء الله.
فکر کنم دوست خوبمون vtn این آنتی ویروسو خیلی دوست دارن که نمی تونن بدیهاشو هر چند جزئی ببینن. بهر حال من هم چون vtn و بقیه ی دوستانو خیلی دوست دارم دیگه به این بحث ادامه نمی دم. موفق باشید.
راستی این هم آنتی همین کرم است و بعد از اجرا سیستم باید حتما بصورت اتوماتیک سه بار log off شود .

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[vtn54]

مهدی جان حق با شما است متاسفانه ظاهرا شرکت کاسپرسکی Application Filtering را از KAV8 حذف کرده است

( نسخه های اولیه بتای KAV حاوی Application Filtering بود ) .در هر حالت در مورد نسخه 8 آنتی ویروس کاسپرسکی

حق با شما است و به نظر می رسد طبق نتایجی که از ان گذاشته اید این نسخه شدیدا مشکل دارد .

البته در مورد بحث PDM و HIPS من همچنان سر حرف خودم هستم ( هر چند این بحث ربطی به علاقه من به

کاسپرسکی ندارد ) ولی با توجه به تصاویری که از محیط KAV8 گذاشتید متاسفانه آن حرفها فقط در مورد KIS صدق

می کند و تمامی حرفهای شما در مورد نسخه 8 KAV کاملا صحیح است و من هم به دوستان عزیز توصیه می کنم در

صورت تمایل به استفاده از نسخه 8 به جای KAV از KIS استفاده کنند. در غیر این صورت بهتر است از نسخه 7 استفاده

کنند.

[mehdi56]

Vtn عزیز از اینکه با من و دوستان دیگر در این تاپیک همکاری کردید بسیار از شما تشکر می کنم و از صبر و حوصلتون برای پاسخها. بهر حال من و دوستان دیگه (همیشه) مطالب زیادی رو از شما یاد گرفتیم و شما رو همیشه به یاد خواهیم داشت.
موفق باشید. در پناه خدا