Защити свой компьютер на 100% от вирусов и хакеров
Шрифт:
Vba32 "-".
ПРИМЕЧАНИЕ
Ну вот, собственно, и настал момент истины. Заметьте, что ни один из наших антивирусных продуктов не смог обнаружить запакованный SkD Undetectabler Pro 2 SkDPRO троянский конь – SkD Undetectabler Pro 2 SkDPRO!
Едем дальше. Trojan.Mezzia пакуем Zipworx SecureEXE. Результаты:
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.12).
Рис. 5.12.Vba не спит
Тест № 2
Тест
Пропускаем нашего "нечто" через WinUpack:
Nod32 2.7 "-";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.13).
Рис. 5.13. Neshta – не уйдет! Пропускаем Neshta через Arm Protector ver.01:
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "-" (рис. 5.14).
Рис. 5.14. Vba32 не видит наше «нечто»
Пропускаем "нечто" через FSG. Результаты:
Nod32 2.7 "+";
"Антивирус Касперского 6.0" "+";
Vba32 "+" (рис. 5.15).
Рис. 5.15. И опять наш антивирус на высоте
ПРИМЕЧАНИЕ
Как видите, в этом тесте Vba32 не смог обнаружить "нечто", запакованного Arm Protector ver.01. Nod32 совсем не распознал Neshta, запакованного WinUpack. Вывод: совершенной эвристики нет – к ней лишь можно стремиться.
Тест № 3
В данном тесте был использован генератор вирусов APOKALIPSES. Из десяти сгенерированных экземпляров Vba32 обнаружил 8, Nod32 2.7 – 9, «Антивирус Касперского 6.0» обнаружил все.
Для проведения четвертого теста был использован свеженаписанный вирус, форматирующий диски. Данный прием (применение в тесте вируса, заведомо отсутствующего в базах) позволяет с высокой долей вероятности определить качество эвристики, так как приближает работу эвристического анализатора к естественным, не лабораторным условиям.
Итак, посмотрим на результаты. Vba32 не обнаружил вирусный код (рис. 5.16).
Тест № 4
Рис. 5.16. «В порядке!»
"Антивирус Касперского 6.0" также ничего не обнаружил (рис. 5.17).
Рис. 5.17. «Опасных объектов не обнаружено!»
Лишь Nod32 обнаружил самописный вирус, классифицировав его как модификацию (рис. 5.18).
Рис. 5.18. Здесь NOD32
Тест № 5
Тест на противодействие обфускации. Подправим наш экземпляр (Trojan. Downloader.Win32.Zlob) вручную. Для этого внедрим пару неизвестных инструкций в оригинальный код. Зачем? Чтобы усложнить задачу по эмулированию новых инструкций эвристическим анализатором тестируемого антивируса: говоря простым языком, эмулятору будет более чем сложно узнать, откуда продолжать разбор кода.
Полученную таким образом модификацию вирусного кода последовательно пропустим через ARM Protector, TeLock и Afx!AVSpoffer. Настоящий "biohazard"! Посмотрим, как с этим справятся наши антивирусы. Результаты:
Nod32 2.7 "-";
"Антивирус Касперского 6.0" "-";
Vba32 "-".
ПРИМЕЧАНИЕ
Как вы можете видеть, ни одна из антивирусных программ не смогла вынести такой "biohazard".
Тест № 6
Eicar Test. Именно этот тест используется для проверки работоспособности антивирусных программ. Обоснованность проведения подобного теста при анализе эвристики особенно очевидна: стандартизованность EICAR позволяет получать результаты с минимальными погрешностями при определении способности антивируса работать с упаковщиками.
Фактически, имитация вируса представляет собой такую последовательность: X5O!P%@AP[4\PZX54(P")7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
ПРИМЕЧАНИЕ
Для проверки внесите данный текст в Блокнот, после чего попробуйте проверить ваш TXT антивирусом.
Здесь тестовый текст был упакован десятью различными упаковщиками. Итак, результаты антивирусной проверки:
Nod32 2.7 – обнаружил восемь экземпляров;
"Антивирус Касперского 6.0" – обнаружил девять экземпляров;
Vba32 – обнаружил восемь экземпляров.
Тест № 7
Тест на обнаружение полиморфных вариантов. Напомню нашим читателям, что в основе полиморфизма стоит способность вируса к изменению своего кода, так называемой «мутации» – образованию неузнаваемых антивирусом форм, что, к слову будет сказано, является идеальным вариантом для нашего теста.
В качестве исследуемого мы используем Virus.Win32.Zombi, который представляет собой сложный полиморфный вирус. Вирус использует уникальную технологию встраивания в файлы: вначале он дизассемблирует исполняемый файл на составные части, встраивает свой код, после чего собирает файл, так чтобы вирусный код и код зараженного файла смешались. Для обхода эвристических анализаторов Virus.Win32.Zombie использует уникальную технологию декриптования своего тела.
Итак, результаты:
Nod32 2.7 – обнаружил;
"Антивирус Касперского 6.0" – не обнаружил;
Vba32 – обнаружил.
Для "Антивируса Касперского 6.0" Virus.Win32.Zombi оказался не по зубам.
Глава 6
Безопасность LAN, WLAN и Интернет
Взлом и защита LAN
Безопасная архитектура – это фундамент
Безопасность беспроводных сетей. Взлом и защита WI-FI
Лучшие брандмауэры – какие они?
Warning! Your IP is detected! Скрываем свое присутствие в Интернете