Исследование эффективности средств защиты от шпионских программ

 Страница 12 Добавить сообщение
Сообщения
Добавлено: Alien Чт Янв 19, 2006 00:32
О выбранных для тестирования anti-spyware программах:
Spyware Blaster не является сканером, и ничего обнаруживать не может - функции совсем другие.
далее цитирую по http://www.spywarewarrior.com/rogue_anti-spyware.htm:

BPS Spyware & Adware Remover
false positives work as goad to purchase; company is known adware distributor; exploits name SpywareBlaster & SpywareGuard; Ad-aware rip-off; Spybot S&D rip-off; old version was same app as Real AdWareRemoverGold, Spyware Nuker, & TZ Spyware Adware Remover; new version uses "Spyware Cops" or "Spy Striker" front end

SpyKiller
uses inadequate scanning/detection scheme; this application is bundled in MaxNetShield (same company) as spyware protection

SpyRemover
licensed SpyBot S&D clone

Spyware Stormer
aggressive advertising; drive-by-downloading; false positives work as goad to purchase; variant of NoSpyX, SpyVest, SpywareCleaner, Spyware Wizard, & Spyware Slayer; Ad-aware knockoff

TrueWatch
false positives work as goad to purchase; "free scan" uses out-of-date reference database w/ no update function
Добавлено: kdv Чт Янв 19, 2006 11:25
К сожалению, действительно, некоторые antispyware используют агрессивные и недобросовестные методы продвижения на рынке. Но для тестирования выбирались программы не "с потолка", а те, которые попадают в различные сравнительные обзоры в интернете, вводящие пользователей в заблуждение. Перед тем, как остановить выбор на 22 программах, были просмотрены следующие источники со сравнительными обзорами и тестированиями:
http://anti-spyware-review.toptenreviews.com
http://www.consumersearch.com/www/software/anti-spyware-reviews/fullstory.html
http://comparespywareremovers.com
http://spywarewarrior.com/asw-test-guide.htm
http://www.spywarehub.com/Anti-Spyware-Scanners.htm
http://netforbeginners.about.com/od/antivirusantispyware/a/antispyware2005.htm
Даже если взять только первый обзор (который является одним из самых известных и популярных) - "Anti-Spyware Software Review 2006" (http://anti-spyware-review.toptenreviews.com), то Вы увидите в перечне все программы, перечисленные Вами, кроме Spyware Blaster. Но он фигурирует в других обзорах.
В принципе, если исключить все указанные Вами программы из тестирования, то картина не изменится.
Добавлено: cvv Пт Янв 20, 2006 14:00
На мій погляд дуже не вдало вибрано матеріал для досліджень - open source програми, які поширюються у вигляді текстів, а не бінарного файлу.

99% користувачів не буде їх компілювати і потім запускати, а зайдуть на будь-який сайт з вже зкомпільованими програмами і зкачають їх.

Так, що ці кейлогери - скоріше допомога для вивчення технології програмування таких речей, ніж реальна зброя зловмисників.

Перевірте на реальних програмах - тоді побачимо йто буде очолювати рейтинг.

Добавлено: kdv Пт Янв 20, 2006 14:26
cvv писал(а):
Перевірте на реальних програмах - тоді побачимо йто буде очолювати рейтинг.
Извините, что отвечаю по-русски. Проверяли, конечно, и на "реальных" - наши продукты одинаково успешно блокируют как известные кейлоггеры, внесенные в сигнатурные базы других антишпионских и антивирусных программ, так и неизвестные, которых нет нигде. Цель нашего тестирования - показать опасность от использования неизвестных шпионских программ. На наш взгляд, они во много раз опаснее известных. И мы свою цель достигли, т.к. уже получаем письма от антивирусных компаний, ознакомившихся с результатами нашего тестирования.

cvv писал(а):
Так, що ці кейлогери - скоріше допомога для вивчення технології програмування таких речей, ніж реальна зброя зловмисників.
Это Ваше субъективное мнение. Если готовы разговаривать серьезно - обоснуйте его. Мое мнение прямо противоположное. И оно обосновано в наших публикациях, ссылки на которые приводятся по тексту статьи. Разыграем ситуацию. Вы - директор фирмы, активно работаете с интернет, электронной почтой, системой типа "клиент-банк". У Вас есть конкуренты, которые хотят знать Ваши секреты. Раньше использовали всякие жучки для прослушивания, подглядывания и т.п. Сейчас они тоже есть, но, учитывая, что все больше активности переносится в онлайн, старые средства кражи информации уже не помогут. Поэтому проблема шпионских программ сейчас и набирает такие обороты. Конкуренту ничего не стоит нанять программиста, который напишет шпионскую программу, позволяющую выудить все Ваши секреты. И эта программа, будучи написана специально под Вас, не будет обнаруживаться никакими антишпионскими и антивирусными программами, основанными на сигнатурном анализе. Если Вы скажете, что Вы бизнесом не занимаетесь и далеки от таких проблем, то вот Вам куда более простой пример. Сейчас многие троянцы содержат модули-кейлоггеры. Если Вы заразитесь таким, то он успеет украсть какую-либо Вашу информацию, пока база Вашего антивируса не обновится сигнатурой этого троянца.
Добавлено: cutter Чт Май 25, 2006 02:50
Мое мнение: анализ кнопок, все-таки, не единственная проблема...
Насколько я понимаю, Вы позиционируете свои продукты для корпоративных клиентов. А простой народ - как всегда в...
Недавно хватанул я вирь (как это сейчас модно - spyware). И все-бы ничего, со многими подобными шедеврами можно сосуществовать, но... Такой нахальности я еще не встречал - вирь, что ошпаренный, лезет в инет, грузит всяко-разно, траффик просто ложится...
Начал его гонять и анти spyware и дохторами вебами и касперскими и прочей ерундой! И в рееестре и инях и поиск по тексту и в процессах и в потоках... Все бестолку! Единственное, что посмотрел, так энто в Ethereal кэпчере - с кем эта сволочь коннектится. Бросился в глаза адресок 81.177.22.240, ради прикола задал в поисковике, и... ОДНА ссылка на SYMANTEC!!! А вирь энтот Troyan.Tabela.G. Вощем не было у меня времени искать нортона, переустановил я свою винду и забыл энто как страшный сон...
А вот если-бы мона было вычислить энту сволочь исходя из соображения: кто-то генерит в стек протоколов IP - за усы его! - ты кто? Но нету пока на энто времени - шоб как следует прикинуть реализацию... Да и знаний не хватаеть...
Т.е. схема примерно такая: шмыгнул запрос -> выявить код -> установить к какому процессу принадлежит -> и предложить юзверю, например, хотя бы блокировку для начала, а там и удалить...
Может ахинею несу, но очень важно определить - кто-же отсылает свой бардак в стек протоколов...
Добавлено: cutter Чт Май 25, 2006 02:59
Ваще, нам юзверям ошень трудно! Вот например месяц назад столкнулся с ключиком в реестре, где прописывается постоянная загрузка скрипта перед запуском любой проги, точнее любой лт не уверен, не проверял, но уж при запуске калькулятора или офиса - так энто точно! А энтот скриптик ужо шурует свои dll-ки зловредные в память и в процессах - нишего!!! Короче весь день прострадал с энтой лабудой, пока падлюку нашел, но сам факт! Трудно нам ошень и страшно жить с такими фичами на борту! Как титаники блин горелый... ))
Добавлено: kdv Чт Май 25, 2006 11:01
Насколько я понимаю, Вы позиционируете свои продукты для корпоративных клиентов.
Вы неправильно понимаете. Такого позиционирования нет. Корпоративные версии находятся в стадии разработки.

...вирь, что ошпаренный, лезет в инет, грузит всяко-разно, траффик просто ложится...
С этой проблемой должны бороться файрволлы. У нас - другая специфика.
Добавлено: cutter Пт Май 26, 2006 14:09
Firewall - не панацея.
Добавлено: kdv Пт Май 26, 2006 14:28
Firewall - не панацея
Разумеется, не панацея.
Добавлено: abv Ср Янв 31, 2007 00:02
Интересно было бы посмотреть результаты тестирования Касперского 5 и 6
 Страница 12 Добавить сообщение