Дата: 24/08/17 - 01:53 am   9453 Тем и 93417 Сообщений

Автор Тема: Из амебы в хомо-сапиенс. Эволюция АВ скан сервисов.  (Прочитано 121787 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Марта 22, 2017, 09:23:42 pm
Прочитано 121787 раз

Ar3s

  • Administrator

  • Оффлайн
  • *****

  • 1971
    30.12.04
  • Reputation:
    1357
    • Просмотр профиля
    • http://dlab.im

Добрый день дорогие форумчане!
Прошла злая зима, на улице светит весеннее солнышко, девушки одеваются все легче и легче. Это непременно радует мужской контингент форума. Работать хочется все меньше. Зарабатывать хочется все больше и больше. На горизонте маячит природа, шашлычки, речка, активный отдых и все отсюда вытекающее. Ну да ладно. Это все лирика…
Много лет назад (блин как же время летит, 7 лет прошло) я писал обзор АВ сервисов. С тех пор утекло много воды. Аверы стали злее, а малваря изощреннее. В то время я сильно радовался появлению автоматических сервисов анализа файлов на АВ. Думал, что пришло будущее и теперь уж точно не придется делать массу тестов на разные АВ ручками. Но не тут-то было. Время нещадно меня наказало тем, что для серьезного теста я держал десяток виртуалок на компе. На каждой из них был установлен свой фаервол/антивирус и я продолжал и продолжал тесты делать ручками, нередко убивая на это 1-2 дня. Но не так давно у нас на форуме появился, ничем не приметный на первый взгляд, сэллер, с очередным АВ сервисом. Все бы было рутинно, если бы не один момент. Сэллер обещал проверку в динамике. Я сразу заприметил сервис и ждал случая предложить им сделать обзор. Такой шанс выпал и сегодня буду о нем рассказывать. Этот обзор о dyncheck.com и его представителе dyncheck@dlab.im

Немного теории (профессионалам пропускать):
По большому, счету сейчас можно выделить несколько методов детектирования малвари. Самый простой из них – это сигнатурный анализ. Почитать умным языком можно здесь либо на специализированных площадках. Но мы попробуем описать все своим, понятным языком. Когда-то в давние времена это был единственный способ определения вирусов. Заключался он в том, что файлы, попавшие в лаборатории к аверам, относились к тем или иным вредоносам. Им давались названия и классификации. Затем выделялись те или иные уникальные части кода файла и создавалась, грубо говоря, таблица, в которой с одной стороны было название малвари, а с другой его особенность и метод лечения. Антивирус проверял все файлы на диске и, если находил совпадение кода в каком-то файле с эталоном из своей базы, показывал алерт и предлагал лечение. Вроде бы все просто и понятно. Огромным недостатком такого метода было то, что для скрытия малвари от аверов достаточно было поменять части кода местами, или найти на какой участок кода агрится авер и переписать его иначе. Иногда достаточно было просто поменять названия переменных в исходниках.

Эвристическое сканирование
По большому счету – это эволюция сигнатурного анализа. Два этих метода нередко работают сейчас совместно. Почитать на википедии.
Давайте попытаемся понять, что же это такое. Представим, что криптер просто поместил вашу малварю в некий контейнер. Пусть даже пошифрованный. Этот контейнер находится внутри исполняемого файла (exe). В момент запуска файл распаковывает на диск или в оперативную память вашу малварь и запускает ее. При сканировании сигнатурным анализатором все будет чисто. Ведь такой сигнатуры ранее не было у аверов. Но тут аверы придумали такие методы как эмулятор кода, виртуальные среды и т.д. Что же произойдет? Антивирус сделает вид, что файл запущен. Т.е. будет эмулирована какая-то минимальная среда виртуального окружения, в которой файл начнет свою деятельность. Будет распаковываться и запускаться. Но мы помним, что все это происходит под неусыпным надзором антивируса. И в момент, когда наша малварь будет распакована на диск или в память, антивирус увидит ее, идентифицирует и выдаст сообщение пользователю.
Несмотря на видимый прогресс и усложнение детектирования, недостаток у данного метода все тот же. Изменяя код или части кода нашей исходной малвари можно добиться того, чтобы антивирусы не идентифицировали нашего зловреда. А в идеале – можно написать динамический морфер, который при каждой новой компиляции файла будет сам менять порядок выполнения функций, увеличивать вложенность вызовов, разбавлять "мертвыми" инструкциями, фековыми WinApi вызовами, менять их местами и т.д. И таким способом длительное время можно было оставаться незамеченным. Ибо каждый билд был уникальным.

Проактивная защита
Читать в википедии о нем можно тут.

Что же это за зверь такой? На самом деле это все вышеперечисленное, но с новыми плюшками и дополнениями. Помимо эвристического анализа и эмуляции кода здесь появляются такие понятия как «анализ поведения», «песочница», «виртуализация рабочего окружения». В чем же отличие на самом деле? Все просто. Теперь антивирус не просто эмулирует минимальную среду запуска файла, он практически полностью эмулирует поведение реальной операционной системы. Следит за тем какие операции файл выполняет, в какой последовательности, куда что пишет, куда лезет за данными. И антивирус не просто следит за этим, в данном случае аверы ушли гораздо глубже в ядро операционной системы и расставили в нем большое количество тригеров (звоночков), хуков, фильтров. В случае если малварь цепляет любой из расставлены ловушек - антивирус мгновенно останавливает процесс и выдает сообщение с предложением остановить подозрительную активность, либо ставит детект по набору имеющихся признаков. Это и есть анализатор поведения. Говоря простым языком - представим, что наша малварь совершает определенный набор действий. Сохраняется в такую-то папку, записывает в реестр такие-то данные для автозапуска, затем соединяется с командным центром ну и т.д. По совершаемым действиям и их последовательности можно создать поведенческий отпечаток. Т.е. если изучаемый антивирусом файл совершает такие-то действия и в этот момент цепляет одну или несколько расставленных ловушек антивируса – то произойдет мгновенное срабатывание. НО. Здесь есть еще один подводный камень. Если подумать – то антивирусу вообще не нужно знать какой именно вирус пытается сработать. Он остановит подозрительный файл без всяких опознаний. А заодно, предложит отправить его на детальный анализ в лабораторию.

Сандбоксинг - Помещение тестируемого файла в так называемую виртуальную среду, в которой эмулируется окружение системы, ФС, реестр, процессы и т.д.. Задачей этого типа проверки является сбор данных о действиях проверяемого файла: что куда пишется, что где запускается\модифицируется\удаляется, в какие процессы идет обращение, инжекты и т.д. На основании полученной информации определяется степень опасности (вредоносности) файла, и решается, можно ли допустить запуск данного файла в самой системе без эмуляции. Примеры сэндбоксинга можно встретить например у Avast,Comodo.

Эмулятор - в простонародье АВВМ (антивирусная виртуальная машина). Данный вид проверки создан в первую очередь для распаковки упакованных и пошифрованных файлов, когда нужно получить чистый код, находящийся например глубоко за слоями полиморфических слоев шифрования или распаковать упакованный код. Эмулятор можно сравнить с виртуальным процессором, на котором в режиме конвейера одна за другой выполняются опкоды. Полученная информация передаётся уже либо сигнатурному движку, либо эвристику, который анализирует полученный набор опкод и решает, выдать детект или нет. Примеры антивирусов с хорошим эмулятором Windows Defender (MSE), Vba32, AVG.

Анализ памяти
Тут хотел вставить фото котиков и сисек, но с трудом удержался...
Некоторые антивирусы (ESET Nod32, Windows Defender и т.д.) пошли еще дальше и научились ловить триггер размещения файла в памяти (как правило ловится WinApi функция аллокации памяти + PE меппинг либо инжект в новый процесс). В этом случае антивирус дожидается завершения работы обработчика (загрузчика файла в память\инжектора), после чего замораживает процесс и сканирует новый размещенный файл\участок кода в памяти обычным сигнатурным анализатором, таким образом не оставляя шансов современным крипторам и "протекторам".

Можно указать еще и Облачный анализ. Особенно на нем останавливаться не хочется, но в двух словах определимся с тем, что антивирус может не анализировать файл самостоятельно, ведь это отнимает и ресурсы системы, время и не всегда получается сделать все в имеющихся условиях. Антивирус может отправлять любой файл в так называемое облако. Там файл разложат на атомы, съэмулируют все, что только можно и, если он покажется подозрительным, отправят на ручной анализ в лабораторию.  К облачному анализу так же можно отнести репутационный анализ, в случае с которым, хэши (метаинформация) всех подозрительных файлов в системе, отправляется во всё то же облако. В этом случае антивирусом может быть применен механизм вайт и блек листов. Во-втором случае, файл будет заблокирован антивирусом. (Яркий пример: Avast Evo.Gen, Norton Sonar и т.д.).

Выбор способа сравнения:
В данном обзоре мне хотелось не столько потрогать сам сервис, сколько показать, чем же он так уникален и чем отличается от конкурентов. В первую очередь я попросил нашего модератора Truemind подготовить пару файлов для теста. У файлов должна быть только одна особенность. Они должны быть более-менее чисты сигнатурно. Малваря внутри должна быть не новая. Далее я определился с тем, кого будем сравнивать. На один стол мы положили 3 сервиса сигнатурного анализа (virustotal.com, viruscheckmate.com, scan4you.net) и динамический рантайм чекер dyncheck.com. На каждом сервисе была организована учетная запись и пополнен баланс. Все тесты планировалось производить одновременно, чтобы исключить вероятность слива файла любым из сервисов и попадание его в базы аверов до окончания наших тестов. Итак, у нас две версии одного и того же лоадера. Резидентная и не резидентная. Над обоими файлами поработал один и тот же криптор. Крипт идентичен.
Для начала я решил сравнить количество антивирусов по сервисам. Для этого я составил не сложную табличку:


В некоторых моментах пришлось гадать, т.к. точная версия антивируса не была указана на сайте. Очень старался свести в более-менее верную таблицу.

Как видим – бесспорный лидер – virustotal с 64 антивирусами.
Безусловный аутсайдер – dyncheck с 20 антивирусами.
Возможно сервис берет не количеством, а качеством?

Тест1. Резидентный лоадер. (что-то из новинок)
Virustotal – 8/64 (рис.1)
Viruscheckmate – 1/41 (рис.2)
scan4you – 1/35 (рис.3)
dyncheck – 9/20 (рис.4 Log)
dyncheck (с включенным интернетом) – 11/20 (рис.5 Log)
В каждом тесте я тестировал dyncheck дважды. С включенным интернетом и повышенным временем ожидания реакции на активность и с выключенным интернетом и минимальным временем анализа.

Все результаты я свел в сводную таблицу:


По таблице собственно и видна разница в статическом и динамическом анализе. % срабатываний аверов значительно выше при динамическом анализе. Здесь не помогают уловки, направленные на эвристик. Антивирусы в динамике так же анализируют сетевую активность. Есть в этой таблице один момент который меня сильно смутил. Почему при тесте на dyncheck с интернетом и без есть разница в срабатывании Norton-а. По идее он должен был сработать с включенным интернетом так же, как и с выключенным. А разница нашлась при детальном изучении отчета. Нортон сработал. Это явно видно на скрине и в истории проверок. Но по какой-то причине сервис не отловил его алерт и не выдал результат в общем списке? 
Так же я не понял прикола с BitDefender. Алерт есть, а на скринах пусто. Подозреваю, что сервис не отловил алерт во-время. Либо - это ложное срабатывание.

Тест2. Инжектор шеллкода meterpreter
Цитата: Truemind
Этот билд - это инжектор шеллкода meterpreter'а в адресное пространство msiexec.exe. После деплоя в адресном пространстве
метерпретер отстукивает к metasploit'у на сервере за основным пейлоадом, после чего выполняется скрипт persistence в msf (авторана)
Я не знаю, что курит Truemind, но порой он даже меня вводит в ступор :)

Virustotal – 6/64 (рис.5)
Viruscheckmate – 0/41 (рис.6)
scan4you – 0/35 (рис.7)
dyncheck – 3/20 (рис.8 Log)
dyncheck (с включенным интернетом) – 5/20 (рис.9 Log)

Результат в виде таблички:


Картина вышла мягко говоря забавная. Вирустотал выдал несколько мне неизвестных антивирусов, которые !!!о чудо!!! среагировали на файл. Два следующих сканера показали фуд, хотя некоторые из антивирусов среагировавших на вирустотале у них имеются. И это крайне странно. Динчек среагировал на файл и с интернетом и без него. Заметно, что при доступе в сеть алертов получилось больше, чем в замкнутой среде. Смутило, что на двух антивирусах висело требование перезапустить систему для применения обновления. Это Norton и Kaspersky. Неожиданно мало детектов. Я ожидал большего количества срабатываний в динамике. Особенно на каспере и Comodo.



Тест3. Всем антивирусам известная andromeda 2.10
Ладно. Раз пошла такая пьянка – возьмём нечто давным-давно известное всем аверам. Мою любимую андромеду. Я сам сделал билд на адреса http://microsoft.com/gate.php и http://amazon.com/gate.php дабы исключить срабатывания по адресу гейта. Криптанули файл. Поехали…
Тест3. Резидентная андромеда
Virustotal – 8/64 (рис.9)
Viruscheckmate – 0/41 (рис.10)
scan4you – 0/35 (рис.11)
dyncheck – 8/20 (рис.12 Log)
dyncheck (с включенным интернетом) – 10/20 (рис.13 Log)



Собственно, картинка получилась ожидаемая. Из статики победил Virustotal. В динамике dyncheck сработал очень хорошо и показал вполне ожидаемый результат (признаюсь, ожидал от аверов большего количества срабатываний, т.к. только ленивый не юзал андромеду). В этот раз хочется обратить внимание на Avast и Comodo, которые при включенном интернете не показал срабатывания на dyncheck. Хотя по логике должны бы.

Отзыв о сервисе:
Очень понравилось наличие профилирования. Я могу создать профили с разными ОС, разными наборами АВ, с доступом в интернет или без него и применять указанные профили к проверкам. В тестах я показал только доступ к сети и время ожидания сервиса. Остальное не показывал т.к. аналогичного функционала у остальных сервисов просто нет. И сравнивать не приходится...

Так же порадовало наличии API и DbgView. Разработчики будут в восторге!

Хочется отметить время реакции разработчика. По-ходу тестов я указывал на те или иные не ровные, на мой взгляд, моменты. Начиная от скринов (о чем я писал выше) и заканчивая некоторыми сканами, которые показывали не всегда верную информацию. Фиксилось все просто со скоростью света. И при каждом последующем скане я уже не находил того, на что ранее обращал внимание разработчика.

Время сканирования. При статичном скане – процесс не занимает более 30 секунд. В динамике ситуация изначально другая. Здесь специально выжидается длительное время (минимум минута) на тест. При выборе большего периода – соответственно приходилось ждать еще дольше. Говорить о том, что это минус не приходится, потому как это принципиально разные подходы к анализу.

Пожалуй пора бы и негативчика написать.
Когда я делал тесты, я обращал внимание на стоимость скана. Если отбросить бесплатный virustotal, то самым дешевым является viruscheckmate со стоимостью 0,10$ за скан. А самым дорогим – dyncheck с 10$ за скан. Разница бесспорно глобальна. Не мне судить о затратах и реальной стоимости услуги, но вспоминая потраченные 1-2 дня на проведение аналогичного теста ручками, я заплатил бы не задумываясь. Но хочется, пользуясь случаем, попросить владельца сервиса пересмотреть ценовую политику. Все-же дороговато на мой взгляд.

О. Чуть не забыл. Отсутствует русский язык. Вообще. Если сделано с уклоном на запад - то нормально. Но если значительная часть аудитории планируется из СНГ - то над этим моментом стоит подумать.

Далее. Я однозначно не стал бы ставить этот сервис, как панацею от всего и вся, как лидера проверки файлов на АВ. Но точно могу сказать, что они в текущий момент являются «законодателем мод». То, что они делают – это уникальная разработка, не имеющая аналогов.

p.s. В процессе написания данного обзора я понял свою ошибку. Я сравнивал dyncheck как средство проверки файла на чистоту. Но это неправильно. Сервис больше подходит для разработчиков малвари, которым необходимо проверять как работу файла на разных ОС, так и обходы файлом различных антивирусных комплексов. Он, однозначно, не заменит в текущем виде тот же scan4you или viruscheckmate, но это и не его основная задача. Она все же несколько другая. Я бы желал видеть на сервисе варианты чека именно обходов. Больше фаерволов. Больше инструментов для разработчика. Вероятнее всего именно в этой нише сервис "выстрелит" и раскроется в полной мере.

Благодарности:
dyncheck@dlab.im - за предоставленный аккаунт, помощь по обзору и сервису, за потраченное время.
Truemind - за неоценимую помощь, консультации, сэмплы, помощь с криптом и многим другим!!!
Lebron - за предоставление сэмплов для теста.
ALL - за то, что читаете и не забываете форум.

Записки на полях by. Ar3s
Специально для damagelab.in
« Последнее редактирование: Марта 27, 2017, 11:55:40 pm от Ar3s »
Jabber: Ar3s@dlab.im

Марта 23, 2017, 06:37:02 pm
Ответ #1

krest

  • Модератор

  • Оффлайн
  • ***

  • 95
    03.12.14
  • Reputation:
    26
    • Просмотр профиля
    • http://
Отличная работа!
Полезный обзорчик

Марта 24, 2017, 11:52:17 am
Ответ #2

Aknisi


  • Оффлайн
  • *

  • 7
    10.03.17
  • Reputation:
    1
    • Просмотр профиля
Сервис, судя по обзору Ареса, прогрессирующий!
На мой взгляд, цены немножко кусаются... Но это личное дело разрабов.

Особенно понравилось вступление автора! ))

Марта 25, 2017, 10:56:45 am
Ответ #3

dyncheck


  • Оффлайн
  • *

  • 1
    25.11.16
  • Reputation:
    2
    • Просмотр профиля
    • dyncheck.com
Большое спасибо администрации форума за обзор!

Популярно и доступно разложили по полочкам виды антивирусных механизмов обнаружений.

Хотим откомментировать некоторые моменты в обзоре:

Цитировать
В некоторых моментах пришлось гадать, т.к. точная версия антивируса не была указана на сайте.
В  нашем случае гадать не нужно, на предварительной странице проверки, мы отображаем последние даты обновлений антивирусных баз и реальные текущие версии антивирусного ПО.

Цитировать
В каждом тесте я тестировал dyncheck дважды. С включенным интернетом и  повышенным временем ожидания реакции на активность и с выключенным  интернетом и минимальным временем анализа.
И действительно,  от наличия доступа у антивируса к интернету, ровно как и у проверяемого файла, зависит поведение и как следствие обнаружение. С включенным интернетом срабатываний значительно больше, потому что у антивируса отрабатывают все доступные механизмы обнаружений.

Цитировать
Так же я не понял прикола с BitDefender. Алерт есть, а на скринах пусто.  Подозреваю, что сервис не отловил алерт во-время. Либо - это ложное  срабатывание.
Если мы отображаем детект в отчете, значит он реально есть. Всё дело в том, что BitDefender и Norton, при наличии детекта на файл,  значительное время тратят на обработку проверяемого файла перед его удалением (или помещением в карантин). Есть набор факторов, сопутствующих этому, которые мы хэндлим еще до появления основного окна с детектом.  По этим признакам мы и показываем детект. (А при наведении на детект в отчете, Вы  можете увидеть дополнительную информацию). Как отметил Ar3s, всё дело в таймауте, и это не ложное срабатывание.

Цитировать
Смутило, что на двух антивирусах висело требование перезапустить систему  для применения обновления. Это Norton и Kaspersky.
К сожалению, некоторые антивирусы на OS Windows, при очередном обновлении баз, запрашивают перезагрузку для их применения. Сейчас мы решаем этот вопрос. Но в этом есть и плюс, базы и движки антивирусов постоянно актуальны.

Цитировать
Неожиданно мало  детектов. Я ожидал большего количества срабатываний в динамике. Особенно  на каспере и Comodo.
В случае с Comodo, на момент написания обзора, был активен профиль Comodo Internet Security. При неё уровень срабатывания HIPS (проактивной системы обнаружений) был максимально низким и почти ни на что не реагировал, и по сути работал  только антивирусный сканер. Сейчас (уже после выхода обзора) мы включили профиль Comodo Proactive Security, что значительно повысило порог срабатывания детектов HIPS. (Советуем всем перепроверить свои файлы с учетом данного изменения.)

Цитировать
А разница нашлась при детальном изучении отчета. Нортон сработал. Это  явно видно на скрине и в истории проверок. Но по какой-то причине сервис  не отловил его алерт и не выдал результат в общем списке?
С этим окном Нортона вопрос уже решен, теперь мы и его хэндлим и выводим в отчет.

Цитировать
Если отбросить бесплатный virustotal, то самым дешевым является  viruscheckmate со стоимостью 0,10$ за скан. А самым дорогим – dyncheck с  10$ за скан.
Здесь нужно учитывать много факторов, основной  из которых это на порядок бОльшее потребление мощностей в соотношении с проверкой только в статике (без запуска файла). Основные затраты уходят на мощное, топовое  оборудование, которое стоит существенные деньги. Отсюда главным образом и  формируется ценообразование. Надеемся, что со временем мы сможем  оптимизировать этот момент.
Что касается разовой проверки с ценой в 10$, то здесь стоит учесть тот фактор, что например даже на самом дешевом тарифе (Daily 25 за 29$), картина кардинально меняется, и по сути стоимость _полной_ проверки становится равной всего 1.16$ (плюс на всех тарифах становятся доступны дополнительные опции сканирования). И с каждым последующим тарифом, этот  показатель становится дешевле.

Цитировать
Я бы желал видеть на сервисе варианты чека именно обходов. Больше  фаерволов. Больше инструментов для разработчика. Вероятнее всего именно в  этой нише сервис "выстрелит" и раскроется в полной мере.
Со временем расширенного инструментария и доступных антивирусных вендоров будет становиться всё больше.
С момента написания вашего обзора, мы уже добавили два новых антивируса (Symantec Endpoint Security 12 и Symantec Endpoint Security 14),  которые по разному могут реагировать на разные угрозы. Мы обработали множество кейсов и теперь узких моментов (ненужных окон на сриншотах, окон апдейтов и главных окон антивирусов) стало в разы меньше или вообще не встречается.

Мы постоянно работаем над улучшением сервиса и благодарны всем тем, кто сообщает нам о любых найденных проблемах и недочетах, и стараемся своевременно их решать.
Сейчас мы работаем над ОС Тестом, с помощью которого Вы сможете проверять Ваши файлы на  предмет работоспособности практически на всех версиях OС Windows.
« Последнее редактирование: Марта 25, 2017, 11:07:26 am от dyncheck »

Марта 27, 2017, 10:25:34 pm
Ответ #4

Ar3s

  • Administrator

  • Оффлайн
  • *****

  • 1971
    30.12.04
  • Reputation:
    1357
    • Просмотр профиля
    • http://dlab.im
Добавлю еще один момент, о котором хотел, но забыл написать в обзоре. Хотелось бы не просто видеть был детект или нет, но и видеть какой именно. т.е. опытный разраб сразу поймет спалился крипт или активность файла под криптом.
Jabber: Ar3s@dlab.im

Марта 30, 2017, 11:45:45 pm
Ответ #5

Ar3s

  • Administrator

  • Оффлайн
  • *****

  • 1971
    30.12.04
  • Reputation:
    1357
    • Просмотр профиля
    • http://dlab.im
На Exploit.in разгорелась дискуссия на тему моего обзора. Там посчитали тесты не совсем корректными ввиду того, что на Virustotal вроде как всегда включен облачный анализ. На Viruscheckmate имеется явный облачный анализ, а Dyncheck с включенным интернетом пользуется облачным анализом и потому вырывается вперед по многим показателям. Доводы были агрументированы и я решил сделать тесты еще раз, с учетом вышеописанных пожеланий. Вот что из этого вышло.

Ну что же. Я подготовил следующий пакет тестов:
1. У нас тот же набор исходных файлов. Резидентный лоадер, Meterpreter, andromeda (андру только пришлось перебилдить, но адреса те же)
2. Один криптор с одним стабом для всех трех файлов. На момент проверки стаб палился Sophos-ом.
3. Те же сервисы и те же условия. Добавлен для объективности vircheckmate облачная проверка.

======================================ТЕСТ 1=====================================
Проверяем резидентный лоадер.
Порядок проверки:
vircheckmate, scan4you, dyncheck - одновременно
vircheckmate cloud, dyncheck+доступ в интернет - одновременно
virustotal - в последнюю очередь

Virustotal: log, screen
Viruscheckmate: log, screen
Viruscheckmate cloud: log, screen
scan4you: log, screen
dyncheck: log, screen
dyncheck (с включенным интернетом): log, screen

Сводная таблица:


Давайте ее рассмотрим подробно с точки зрения облачной проверки файлов. И заодно поймем работают ли все АВ на вирустотале с облачной проверкой (из тех у которых облачная проверка существует в принципе).
В первую очередь удивляет Avira. На Dyncheck у нее был алерт. На VirusCheckMate и Virustotal - сработки нет.
Далее обратим внимание на BitDefender и DrWeb. На Dyncheck были алерты, на Virustotal - нет.
Какие можно сделать ПРЕДПОЛОЖЕНИЯ основываясь на проведенном тесте? Исходя из полученных данных можно предположить, что Virustotal все же сканирует файлы статиким анализом. По-крайней мере в отмеченных мной пунктах.
Так же можно ПРЕДПОЛОЖИТЬ, что на VirusCheckMate Avira или не работает вообще или работает некорректно. Что бы убедиться в корректности результатов - вернемся к логу динчека и рассмотрим скрин авиры:


Как видим - детект действительно есть. И он с пометкой (cloud).



DrWeb так же детект имеется. Почему же его нет на Virustotal? :) А потому, что файл действительно проверяется только в статике - вот очередное доказательство.

======================================ТЕСТ 2=====================================
Проверяем Meterpreter.
Порядок проверки прежний.

Virustotal: log, screen
Viruscheckmate: log, screen
Viruscheckmate cloud: log, screen
scan4you: log, screen
dyncheck: log, screen
dyncheck (с включенным интернетом): log, screen

Сводная таблица:


Видим повторение ситуации с Avira на Virustotal, VirusCheckMate и Dyncheck. На первых двух алерта опять нет. Ну фиг с ним, с вирустоталом, там денег не берут. Но на VirusCheckMate почему опять не сработало облако?

Есть еще один момент который мне не понравился. Обратим внимание на TrendMicro. Почему-то на dyncheck без интернета он среагировал. А с интернетом - нет... Жаль на скрине не видно алерта антивируса. Я пока не знаю как объяснить этот момент.

======================================ТЕСТ 3=====================================
Проверяем Andromeda.
Порядок проверки прежний.

Virustotal: log, screen
Viruscheckmate: log, screen
Viruscheckmate cloud: log, screen
scan4you: log, screen
dyncheck: log, screen
dyncheck (с включенным интернетом): log, screen

Сводная таблица:


Первым делом отмечу Avast на Dyncheck. По аналогии с TrendMicro в прошлом тесте - он не сработал при наличии интернета. Если кто понимает логику происходящего - поясните мне самому. Я не понимаю, почему такое может происходить. Не срабатывает логика сервиса?
Далее Avira, BitDefender, DrWeb - аналогично предыдущим тестам. Что еще больше меня укрепляет в мнении, что Virustotal, как минимум, не все АВ гоняет с включенным облаком. И что Avira не работает на Viruscheckmate. Скрин

Но в данном тесте есть еще одно пересечение облачных АВ. Это MSSE (Windows Defender). Который в динамике и с облаком и без облака на Dyncheck дал нам алерт. А вот в облачной проверке Viruscheckmate не сработал. Неужели еще один АВ на Viruscheckmate работает некорректно???


Жаль на втором тесте Dyncheck+интернет на скрине не видно ни сработки ни идентификатора вируса. Более того. Нам видно хистори антивируса в котором пусто... Это меня ставит в тупик. т.е. не совсем понятно, а был ли алерт вообще? И если был, и если антивирус удалил файл - то почему в истории зияет пустота?


p.s. перечитывая перед публикацией текст еще раз, решил все же проверить что за дела с MSSE на Dyncheck. Сделал еще одну проверку того же файла на одном единственном АВ. Алерт есть. Но в этот раз в окне все отобразилось как положено. Log. Задал вопрос овнеру. Говорит не всегда успевает отрисоваться полностью окно или информация в окне антивируса. Поэтому такая фигня и получается иногда. А в качестве аргумента мне было сказано, что если файл чистый - то окно антивируса не вылезет на экран само по себе. Так что то, что на предыдущем скрине есть окно - уже свидетельствует о реакции антивируса.

За сим, не делая выводов, не вгоняя никого в краску, я откланяюсь, оставив пространство для дискуссий и обсуждения результатов...
By Ar3s, по следам дискуссии с Integra
« Последнее редактирование: Марта 30, 2017, 11:58:15 pm от Ar3s »
Jabber: Ar3s@dlab.im