mateusxzz Opublikowano 3 Marca 2011 Zgłoś Udostępnij Opublikowano 3 Marca 2011 PDF podsumowujący w trakcie tworzenia... Czas na kompresję, gdyż rozmiar 66MB jest nie do przyjęcia... To ja Ci Jurku odpowiem na pytanie 4. Po włączeniu w Monitorowaniu zachowań Avast! na "PYTAJ" - sypie komunikatami dotyczącymi zmian w systemie, instalacji steroników. I daje opcje zezwolenia raz, zezwolenia i dodania do grupy zaufania, zablokowania. I nie jest bynajmniej to atrapa. Odnośnik do komentarza
Eru Opublikowano 3 Marca 2011 Zgłoś Udostępnij Opublikowano 3 Marca 2011 Wiem, że to był test piaskownic, a nie HIPS-ów. Zapytałem ponieważ interesuje mnie kompleksowa ochrona aplikacji zabezpieczających, a więc także skuteczność monitorów systemu. Ad 1. Gdybyś normalnie używał GW, to wszystkie pliki pobrane z internetu byłyby automatycznie zaizolowane. Wiem, że GW posiada szczelną piaskownicę ale zapytałem ponieważ teoretycznie jest możliwość przebicia się wirusa poza wirtualizację. Miałem takie przypadki w DW 2.56. W przypadku HIPS-ów z piaskownicą musiała wystąpić blokada ale i pozostałe programy mogły ją wykorzystać. Wydaje mi się, że test byłby bardziej logiczny, gdybyś wykonał test kompleksowej ochrony (sandbox, HIPS. firewall, antywirus) wszystkich programów, lub tylko samych piaskownic, z wyłączeniem DW i GW. Ad 2. Zastanawia mnie jak mogły znikać ślady po wirusach w Comodo, jeżeli były uruchamiane w kontenerze piaskownicy na dysku C. Przecież sandbox, to nie jest wirtualizer dysków, który usuwa wszystko po restarcie? Ad 3. Zapytałem ponieważ interesuje mnie skuteczność HIPS-a w KIS w trybie zaawansowanym. Na domyślnych ustawieniach prawie w ogóle nie działa Ad 4. Od wersji 6 Avasta jest opcja do wyboru w monitorze zachowań (zezwól - domyślna, blokuj, pytaj). Interesuje mnie, czy ten HIPS działa, czy jest tylko atrapą. 1. Nie wiem co rozumiesz pod pojęciem "normalne używanie GW" ale że paczkę pobierałem na fizyczny PC a potem wybierałem 10 losowych malware i umieszczałem je w osobnym folderze - potem za pomocą opcji Przeciągnij i upuść (którą VMware oferuje) przeciągałem folder z tymi 10 zagrożeniami do VM to uruchamiałem je w każdym teście z PPM. lub tylko samych piaskownic, z wyłączeniem DW i GW. - nie wiem czemu miałbym nie uwzględniać GW i DW w teście piaskownic jak to są piaskownice z restrykcjami... Może taki test o którym mówisz kiedyś zrobię (mówię kiedyś bo to cholernie dużo czasu by zajęło a jakbyś nie zauważył ja to traktuję "testowanie" można by rzec, że jako "hobby" i mi za to nie płacą)... 2. Po restarcie nie było śladów żadnych plików uruchomionych w Sandboxie CIS'a - być może CIS albo opróżnia piaskownicę po restarcie (co raczej jest prawdopodobne) lub po prostu "kontener" jest tak dobrze ukryty, że programy nie mają do niego dostępu - ty "testowałeś" CIS'a dość długo... 3. Ale co mnie to obchodzi, że ciebie interesuje - to sobie przetestuj Ja robiłem test Sandboxów nie HIPS'ów 4. No jest taka opcja (i dobrze że Avast się rozwija w odpowiednim kierunku) - jeżeli cię to tak interesuje to go "przetestuj" lub zapytaj kogoś kto w nim testował tego HIPS'a PS. Użyłem "" przy słowach testowanie specjalnie bo jak wiadomo, nie są to "profesjonalne" testy, które tak cenicie Odnośnik do komentarza
Anonim2 Opublikowano 3 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2011 Dzięki Eru za wykonanie testu oraz za wyjaśnienia! Jeżeli chodzi o porównanie HIPS-ów do piaskownic, to można polemizować. GeSWall co prawda bardziej przypomina Sandboxa, choć dobrze blokuje keyloggery i ataki sieciowe ale już DefenseWall Personal Firewall nie wiele z piaskownicą ma wspólnego poza tym, że wykorzystuje ją w ochronie. Najlepszym dowodem na to są wyniki CLT w którym Sandboxie zalicza 160 pkt, GeSWall 200, a DefenseWall 330. Pozdro Odnośnik do komentarza
SE7EN Opublikowano 3 Marca 2011 Zgłoś Udostępnij Opublikowano 3 Marca 2011 Nie widzę zbytnio sensu robienia syntetycznego testu czysto HIPSowego na Sandboxie, to jest równie niepoważne jak niektóre wyniki matousec wykonywane na klasycznych firewallach (Sunbelt Personal Firewall, Look 'n' Stop itp.). Odnośnik do komentarza
Anonim2 Opublikowano 3 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2011 Nie widzę zbytnio sensu robienia syntetycznego testu czysto HIPSowego na Sandboxie, to jest równie niepoważne jak niektóre wyniki matousec wykonywane na klasycznych firewallach (Sunbelt Personal Firewall, Look 'n' Stop itp.). Może i tak, choć rezultat Sandboxie nie jest wcale taki zły. Porównuje te wyniki, aby pokazać różnice w ochronie pomiędzy SB, GW i DW poza samą izolacją w piaskownicy. Odnośnik do komentarza
Eru Opublikowano 3 Marca 2011 Zgłoś Udostępnij Opublikowano 3 Marca 2011 Dostępne jest już podsumowanie na blogu SG Odnośnik do komentarza
SE7EN Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 Może i tak, choć rezultat Sandboxie nie jest wcale taki zły. Porównuje te wyniki, aby pokazać różnice w ochronie pomiędzy SB, GW i DW poza samą izolacją w piaskownicy. Samo porównywanie wyników jest już bez sensu bo niby w jaki sposób miał by przejść testy DNS itp ? Równie dobrze można by sprawdzić jak skuteczna jest w nim np. kontrola rodzicielska. Odnośnik do komentarza
Anonim2 Opublikowano 4 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2011 Dostępne jest już podsumowanie na blogu SG Dzięki Eru! Wyniki "Wielkiego testu sandboxów SafeGroup!". Nie zgadzam się jednak z posumowaniem! Powinny być trzy grupy w ocenie końcowej - złoto, srebro, brąz. 1. Comodo, KIS, Sandboxie 2. DWPF, GeSWall (BSOD, brak infekcji) 3. BZ, Avast Pozdro Odnośnik do komentarza
LikwidatoR Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 No raport końcowy fajny, good job Odnośnik do komentarza
mateusxzz Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 To pojawi się w następnych edycjach testów. Teraz nie miałem czasu na tworzenie innych odznaczeń, niż te które są. A poza tym PDF skończony był wcześniej, tylko rozmiar i kolor tła mi nie pasował. Odnośnik do komentarza
Anonim3 Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 Jedno pytanie: gdzie w "naturze" występują te "robale" innymi słowy gdzie trzeba się poruszać aby to dziadostwo załapać ? Odnośnik do komentarza
Eru Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 Jedno pytanie: gdzie w "naturze" występują te "robale" innymi słowy gdzie trzeba się poruszać aby to dziadostwo załapać ? Sam nie wiem gdzie ludzie łażą, że infekują sobie kompy - ale mniejsza wystarczy spojrzeć ile ludzi dziennie zamieszcza logi na forach w działach "bezpieczeństwo" lub pokrewnych Odnośnik do komentarza
SE7EN Opublikowano 4 Marca 2011 Zgłoś Udostępnij Opublikowano 4 Marca 2011 Chodzi Ci o te konkretne kody na których był wykonywany test, czy ogólnie o infekcje. Jeśli dotyczy to pierwszej części to pliki są publikowane na forum SG w odpowiednich paczkach, odnośnie drugiej to pomysłowość cyberprzestępców jest spora, stosują oni różne sposoby dystrybucji malware między innymi poprzez wiadomości email z szkodliwymi załącznikami lub linkami do infekujących stron, wiadomości z linkami wysyłanymi na portalach społecznościowych, wiadomości z komunikatorów internetowych, banery prowadzące do stron z tymi aplikacjami, wyniki w wyszukiwarkach no i pamięci masowe infekujące maszynę do której zostaną podłączone. Jeśli chodzi o strony z malware to spotyka się strony nad którymi kontrola została przejęta i publikowane na niej pliki są podmienione (np. ostatnio sterowniki do urządzeń firmy Razer, strona Kaspersky kaspersky.co.za, f-secure.com.br itp.). Niektóre infekujące strony wymagają reakcji ze strony użytkownika (stosowane są socjotechniki np. aby oglądnąć rewelacyjny "materiał wideo" wymagany jest "kodek" lub inny program, na komputerze jest jakiś "problem" który tylko "fałszywy program jest w stanie naprawić itp.) inne stosują ataki drive-by download i nie jest wymagana żadna reakcja ze strony użytkownika poza odwiedzeniem danej strony. No i dochodzą to tego jeszcze klasyczne robaki sieciowe które rozprzestrzeniają się same (np. Sasser itp.). oraz zainfekowane pliki pochodzące z p2p warezów itp. Odnośnik do komentarza
Meir Opublikowano 17 Marca 2011 Zgłoś Udostępnij Opublikowano 17 Marca 2011 Żeby się czymś "zarazić" w sieci trzeba być kompletnym dyletantem (bez urazy )...przy dobrym zabezpieczeniu-przede wszystkim solidny HIPS-ryzyko infekcji jest skrajnie minimalne...ja codziennie uruchamiam po kilkanaście różnej maści virków z tej stronki : hxxp://www.malwaredomainlist.com/update.php i nic się nie dostało do systemu... Dlatego czytając "Dział pomocy doraźnej" nie mogę wyjść z podziwu : jak oni to robią Odnośnik do komentarza
Anonim2 Opublikowano 18 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2011 Żeby się czymś "zarazić" w sieci trzeba być kompletnym dyletantem (bez urazy )...przy dobrym zabezpieczeniu-przede wszystkim solidny HIPS-ryzyko infekcji jest skrajnie minimalne...ja codziennie uruchamiam po kilkanaście różnej maści virków z tej stronki : hxxp://www.malwaredomainlist.com/update.php i nic się nie dostało do systemu... Dlatego czytając "Dział pomocy doraźnej" nie mogę wyjść z podziwu : jak oni to robią Przypomnij sobie Meir siebie sprzed wielu lat Podstawą jest doświadczenie i zainteresowanie się tematem, a to jest nadal rzadkość wśród użytkowników komputerów. Solidny HIPS szczególnie z piaskownicą skutecznie chroni w trybie niezaufanym, ale pozostaje jeszcze instalacja nieznanego oprogramowania w trybie zaufanym. W zasadzie jest to błąd, ale czasem takie działanie może być konieczne i wtedy istotę stanowi wirtualna maszyna lub przynajmniej piaskownica do testowania. Odnośnik do komentarza
Rekomendowane odpowiedzi