"Niemarkowy" test skanerów anty-rootkit
#1
Tytuł oryginalnego wątku na Wildersach, gdzie zamieszczono opis i wyniki tego testu nosi nazwę "An Inconsequential Rootkit Test" , co można przetłumaczyć jako test niekonsekwentny...brzmi nieco dziwnie...ale również jako test błahy. I ta wersja chyba bardziej odpowiada intencjom autora, który samo amatorsko (czyli w "niemarkowym" teście) przetestował 11 mniej i bardziej popularnych programów, które w zamyśle mają za zadanie wykrywanie rootkitów.
Test przeprowadzono na systemie Win XP SP3 32-bit, użyto do niego 3 w miarę siweżych próbek malware z ostatniego tygodnia. Pierwszy etap brał pod uwagę 8 skanerów, potem dołożono jeszcze 3. Opis, wyniki i komentarz autora oryginalny...podkreślenia moje
Cytat: Anyway, the test system was a Win XP 32bit thingy (lowest common denominator). Each of the 3 samples were confirmed as malicious (ZA) and run (one right after the other). As HitmanPro detected the rootkit after infection testing proceeded as follows:
1), Samples run
2). Confirmation of infection by HMP
3). One of the AntiRookit scanners was run, and no matter the result the computer was rebooted and,
4). HMP was again run to determine if System was cleansed of infection.

Results:
GMER - crashed
avast! aswMBR Rootkit Scanner - crashed
(Please note that both successfully completed a scan on the test system when it was completely clean)
Bitdefender Rootkit Remover - fail (didn’t detect any infection)
Trend Micro RootkitBuster - fail (detected infection but noted “Unable to Fix”)
McAfee Rootkit Remover - fail (really fast but really useless)
Sophos Rootkit Removal Tool - fail (Detected infection but failed to clean, even though it said it had. Typical Sophos! Also note that this is a combo Anti-malware\antivirus\antirootkit product and must be installed)
Kaspersky TDSSKiller - fail (also uselessly fast)
Oshi Unhooker - fail (WAHHH! I wanted it to work. But the interface is pretty)
Malwarebtytes Anti-Rootkit - Pass (surprise, surprise)

Conclusion and Comments- As shouldn’t be a shock to any, Malwarebytes makes good products. As for the GMER and Avast crashes, I can’t determine if the malware had a specific coding to cause these to crash, or if just the nature of the infection made them loop- whatever, they failed. I also have to add before I close that the Sophos product actually has a use- I came across a Trojan earlier this month that when run would hide the directory it was run from, as well as spawning a number of daughter programs into that same (now hidden) directory. Although Hitman could not see this directory to detect the files, Sophos was able to detect the parent and the daughters. And once again after stating that the infections were cleaned, it lied. Typical Sophos!

Cytat: Test Addendum: 3 others scanners were added:

1). ComboFix - Pass (thanks, Umbra. I totally forgot to use this one)

2). Emsisoft Emergency Scanner - fail (it did actually detect one of the infected points, the hidden C:\windows\assembly\gac\desktop.ini file, and indicated it would delte it on reboot. Of course it failed to do so. I really don''t like this product).

3). CCE - Pass (found all and cleaned on reboot- actually performed better than I expected)


Źródło http://www.wilderssecurity.com/showthread.php?t=346189
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Kurde wyniki naprawdę ciekawe. Niby amatorski test, ale czasami taki bardziej do mnie przemawia niż to co można znaleźć na większych portalach. Krótko i treściwie, ale wynik przeraża jednocześnie. Teraz tak patrzę to będzie się trza dodatkowo uzbroić w jeden z tych programów na zapas.
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Odpowiedz
#3
Tylko tutaj nie wiem czy można pisać o typowym teście anty-rootkit,oczywiście programy wymienione w teście są jak najbardziej stworzone do wykrycia i dezynfekcji rootkita,ale powątpiewam że w teście były użyte typowo rootkity.
Z tego co tam jest wymienione to są to współczesne zeroaccess które nie posiadają rootkita,więc test jest niemiarodajny moim zdaniem.
O zeroaccess bez rootkita przypomina o tym ta część poniżej:
http://labs.bitdefender.com/2012/05/no- ... eroaccess/
Odpowiedz
#4
Hmm mam wolna moaszyne wirtualnajakby sie uplowalcudalo jakiegos dobrego rootkita to moglbym przeprowadzic test tylko ktos do zredagowania sie przydal ...


Edit
Mozna potwierdzic ten zalopsny wynikTDSS z 1 kwietnia Kaspersky,Bitdefnder,Sophos,McAffe oblaly testuje obecnie VBA Anti-Rootkit nastepnie MBAR pojdzie w ruch
VBA nawet nie probuje sie uruchomic...

I mamy zwyciezceMalware Bytes Anti Rootki !
Jag ser mig om och ser
Mitt hem försvinna bort
Min tid där hemma känns
Nu alldeles för kort
Odpowiedz
#5
Hmm wszystko ok ale czy tutaj się ktokolwiek dowie na jakich próbkach był przeprowadzany test,bo jak dla mnie nijak to się na razie ma Smile
Odpowiedz
#6
@tachion
Sluszna uwaga Probki w labie
Jag ser mig om och ser
Mitt hem försvinna bort
Min tid där hemma känns
Nu alldeles för kort
Odpowiedz
#7
Uwaga uwaga bedzie dogrywka ze wzgledu na pojawienie sie nowszej i ciekawszej probki
Jag ser mig om och ser
Mitt hem försvinna bort
Min tid där hemma känns
Nu alldeles för kort
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości