روشی پیشرفته برای تست نرم افزارهای امنیتی سیستم

[vtn54]

سلام به همه دوستان عزیز

برای آن دسته از دوستانی که علاقمند به تست سیستم امنیتی خودشان در سطح پیشرفته هستند نرم افزار جالبی را

معرفی میکنم.البته قبل از شروع باید اخطار کنم که این آزمون از کدهای مخرب واقعی استفاده می کند که می تواند

برای سیستم شما اشکالات زیادی ایجاد کند و بنا به اظهار سازنده آن باید احتمال نیاز به فرمت هارد را نیز در نظر بگیرید

در هر حالت قبل از هر کاری اطلاعات موجود در لینک زیر را بخوانید:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یا

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سپس فایل زیر را داونلود کنید:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]



ممکن است حین داونلود ویا قبل از اجرا ضد ویروس اخطار دهد در این صورت یا از خیر اجرای برنامه بگذرید و یا قبل از

اجرای برنامه آنتی ویروس را غیر فعال کنید و هنگام اجرا آن را دوباره فعال کنید.پس از اجرا برنامه مزبور ابتدا برنامه های

امنیتی سیستم شما را غیر فعال کرده و بعد انواع مختلفی از برنامه های مخرب را روی سیستم اجرا می کند ( از

نصب تروجان , Keylogger ,روت کیت گرفته تا ایجاد اکانتهای قلابی روی سیستم با اختیارات کامل و حتی ارسال اطلاعات

به اینترنت )

برای آنیستال برنامه باید فایل DFKTS v2 را اجرا کرده وسپس سیستم را ریستارت کنید و دوباره آن را اجرا کنید.بهتر است

پس از آن سیستم خودتان را با آنتی ویروس اسکن کنید .(البته اگر هنوز به آنتی ویروس خودتان اعتماد دارید )

باز هم بگویم اگر تجربه کافی برای اینکار را ندارید بهتر است از خیر امتحان آن بگذرید.دوستانی که آن را اجرا می کنند

نتیجه را گزارش کنند تا دیگر دوستان نیز استفاده کنند خود من هم نتیجه را در پست بعدی اعلام می کنم.

موفق باشید.

[vtn54]

با سلام دوباره

سیستمهای امنیتی فعال بر روی سیستم من عبارتند از :

Kaspersky Anti-Virus 6.0.1.411 MP1

Webroot Spy Sweeper 5.2.3

Zone Alarm Pro 6.5.737

هر سه آنها در حالت Real Time فعال بوده و تنظیمات امنیتی هر سه در بالاترین سطح قرار داده شده است ( البته File Anti-Virus

کاسپرسکی در سطح Recommended قرار دارد ) حین داونلود و قبل از اجرا هیچکدام از آنها اخطاری صادر نکردند حتی اسکن دستی

iPod-commercial.exe با کاسپرسکی نیز نتیجه ای نداشت ولی با اجرای فایل مزبور برنامه بالا نیامده و کاسپرسکی جلوی

اجرای آن را گرفت و سیستم دچار Freeze های کوتاه مدت مکرر شد و من ناچار پس از پانزده دقیقه سیستم را

ریستارت کردم ولی پس از بالا آمدن ویندوز سیستم کاملا پاک بوده و هیچ نشانه ای از آلودگی در مکانهای اشاره

شده در راهنما وجود نداشت.اینبار من قبل از اجرا خاصیت Real Time Protection کاسپر را از کار انداختم و فایل را

اجرا کردم و سپس آنرا مجددا فعال کردم سرویس Program Control زون آلارم هنگام اجرای فایل مذکور اخطار نداد

ولی پس از اجرا اخطار داد که برنامه مذکور اقدام به غیر فعال کردن کاسپرسکی کرده است که من گزینه Deny را

انتخاب کردم در این بین برنامه سه فایل

winllogon.exe و projector.exe و xmlscript.exe را در پوشه Temp ایجاد کرده بود که هر سه در Task Manager قابل

مشاهده بودند و میشد به راحتی آنها را غیر فعال کرد علت آن هم این بود که کاسپرسکی بلافاصله پس از نصب

روت کیت Vanquish را شناسایی و مجموعا هفت کد مخرب را با اسامی زیر شناسایی و پاک کرد:

Trojan program Trojan-PSW.Win32.XShadow.b

virus Worm.Win32.VB.dy

malware Exploit.Win32.MS06-030

Trojan program Trojan-Spy.Win32.KeyLogger.le

Trojan program Trojan-Downloader.Win32.Small.drq

Trojan program Trojan.Win32.KillAV.ip

Trojan program Trojan-PSW.Win32.XShadow.b

پس از آن علارغم فعال بودن iPod-commercial.exe و نمایش صفحه Loading... اتفاق دیگری نیفتاد و هیچکدام از

نرم افزارهای امنیتی من از کار نیفتادند و در حالت اجرا باقی ماندند و من به طور دستی iPod-commercial.exe را از

کار انداختم. کاسپرسکی کار خود را خوب انجام داد و دو تای دیگر هم به خوبی در مقابل غیر فعال شدن مقاومت کردند.

تنها چیزی که برای من جای تعجب داشت این بود که کاسپرسکی هر هفت مورد را با سرویس File Anti-Virus خود شناسایی

کرد و سرویس PDM پلک هم نزد ظاهرا در اینگونه موارد اولویت با File Anti-Virus است.

چشم انتظار نتایج مربوط به سایر آنتی ویروسها هم هستیم تا یک مقایسه عملی بین آنها صورت گیرد.

[BERJIS]

vtnجان برنامه جالبی گذاشتی البته من برای اولین باره که این تاپیکو دیدم .علت اینکه کاسپر در هنگامی که این فایلو اسکن میکنیم اونو نمی شناسه بخاطر اینه که این فایل با پکر های زیادی وبا مهارت خاصی پک شده وفقط هنگام اجرا فایل وآنپک شدنشه که قابل شناسایی میشه البته برای آنتی ویروسهایی که سیستم هوریستیک اونا به فایلهایی که به تعداد زیاد پک شده اند حساس است مثل نود, آواست ویا آنتی ویر قبل از اجرا فایل قابل شناسایی میباشه.

[Persian.Boy]

vtn جان ممنون بابت این تستی که ارائه دادید. سر فرصت حتما من هم اون رو بر روی آنتی ویروسهایی که

بصورت نصب شده دارم امتحان میکنم. اما قبل از هر چیزی این رو بگم که این فایل توسط آنتی ویروسهای زیر

بعنوان فایل آلوده به Malware و Trojan شناسایی میشود.

َAntivir
Avast
BitDefender
eSafe
Ewido Anti Spyware
NOD32
Panda
Sunbelt
Webwasher-Gateway

این آنتی ویروسهای بالا که نام بردم فایل آلوده رو قبل از آنپک شدنش تشخیص میدن.

[vtn54]

vtn جان ممنون بابت این تستی که ارائه دادید. سر فرصت حتما من هم اون رو بر روی آنتی ویروسهایی که

بصورت نصب شده دارم امتحان میکنم. اما قبل از هر چیزی این رو بگم که این فایل توسط آنتی ویروسهای زیر

بعنوان فایل آلوده به Malware و Trojan شناسایی میشود.

َAntivir
Avast
BitDefender
eSafe
Ewido Anti Spyware
NOD32
Panda
Sunbelt
Webwasher-Gateway

این آنتی ویروسهای بالا که نام بردم فایل آلوده رو قبل از آنپک شدنش تشخیص میدن.

سلام عزیز

ممنون از توجهتان , البته آنتی ویروسهایی که نام برده اید اگر دقت کنید ( و در شکل زیر به وضوح دیده می شود ) تقریبا هیچکدام فایل الوده را شناسایی نکرده اند بلکه به پکری که برای پک به کار رفته است واکنش نشان داده اند در واقع اکثر این آنتی ویروسها خاصیت Unpack جالبی ندارند و به طور کلی تمام فایلهایی را که با پکرهای ناشناخته پک شده اند به عنوان فایل آلوده احتمالی شناسایی می کنند هر چند این روش در اکثر مواقع موثر است ولی در اصل یک مثبت کاذب حساب می شود در هر حالت اگر خواستی از این تست روی این گونه آنتی ویروسها استفاده کنی باید قبل از اجرا Real Time PROTECTION آنها را غیر فعال و بلافاصله پس از اجرای فایل آن را فعال کنی یعنی همان کاری که من با کاسپر انجام دادم.

[S0R3N4]

Vtn عزیز
لینک دانلود برنامه خرابه

[toadstool]

من برنامه رو دانلود كردم و فقط موقع Scan دستي AVG Internet Security اونو به اسم

Trojan.Small شناخت ولي جرات نكردم اجراش كنم

[vtn54]

Vtn عزیز
لینک دانلود برنامه خرابه

تست را برایتان در رپیدشیر اپلود کردم ولی در به کار بردن آن احتیاط کنید.

[toadstool]

VTN جان من فايل رو اجرا كردم

قبل از اون بگم ويندوز من XP SP1 هست و در حال حاضر فقط AVG Internet Security 7.5 ( آپديت شده)

روي ويندوزم نصبه

همون طور كه گفتم موقع اسكن دستي اين تروجان يافت شد



ولي من ignore كردم بعد فايل رو اجرا كردم و اين هم نتيجش






كه باز هم گذاشتم ويروس كارش رو ادامه بده

ولي بعد از اون حدود 15 دقيقه كه در اين مدت فقط صفحه زير باز بود و مرتب خطهاش داشت پر ميشد

ويروس هيچ عمل خاصي انجام نداد



و مشخص بود كه سيستم در حالت IDLE هست

من هرچه صبر كردم اتفاقي نيفتاد و اون صفحه رو بستم

و هيچ گونه فايل مشكوكي در Task Manager يافت نشد

و وقتي سيستم رو اسكن كردم رد پايي از ويروس نبود

[vtn54]

VTN جان من فايل رو اجرا كردم

قبل از اون بگم ويندوز من XP SP1 هست و در حال حاضر فقط AVG Internet Security 7.5 ( آپديت شده)

روي ويندوزم نصبه

همون طور كه گفتم موقع اسكن دستي اين تروجان يافت شد



ولي من ignore كردم بعد فايل رو اجرا كردم و اين هم نتيجش






كه باز هم گذاشتم ويروس كارش رو ادامه بده

ولي بعد از اون حدود 15 دقيقه كه در اين مدت فقط صفحه زير باز بود و مرتب خطهاش داشت پر ميشد

ويروس هيچ عمل خاصي انجام نداد



و مشخص بود كه سيستم در حالت IDLE هست

من هرچه صبر كردم اتفاقي نيفتاد و اون صفحه رو بستم

و هيچ گونه فايل مشكوكي در Task Manager يافت نشد

و وقتي سيستم رو اسكن كردم رد پايي از ويروس نبود

سلام دوست عزیز

ظاهرا AVG هم کارش را به خوبی انجام داده است ولی چون فقط یکی از چند فایلی را که پس از اجرای iPod-commercial.exe

در پوشه Temp ویندوز ایجاد می شود شناسایی کرده است ( پس از اجرای این فایل 5 فایل در پوشه Temp ایجاد

می شود به اسامی projector.exe ,xmlscript.exe , frmsystem.exe , winllogon.exe , playmovie.exe که هر

کدام کار خاصی می کنند ) من توصیه می کنم سری به پوشه Temp بزنی ببینی اثری از اینها هست یا نه , اگر نبود

که خیالت راحت باشد ولی اگر هر کدام از آنها را دیدی ممکن است سیستمت آلوده شده باشد چون این برنامه طوری

طراحی شده است که مانند ویروسهای واقعی کار خود را در خفا انجام دهد. باید برنامه پاک کننده همراه با این تست

را با روشی که در پست اول گفتم اجرا کنی.