Спецпредложение ContentKeeper WebR
Контентная фильтрация для учебных заведений: от $720 в год для одной организации

Методология теста самозащиты антивирусов (январь 2009)

Илья Шабанов чт, 15/01/2009 - 23:03

Тест проводился на специально подготовленном
стенде под управлением VMware GSX Server. Для каждого антивирусного
продукта клонировалась "чистая" виртуальная машина с операционной
системой Microsoft Windows XP SP3.

В тестировании участвовали следующие антивирусные программы:

Avast!
4 Professional Edition 4.8 (build 4.8.1229)
Microsoft
Windows Live OneCare 2.5.2900.20
Avira
Premium Security Suite 8.1.0.245
BitDefender
Internet Security 2009 (build 12.0.10)
Dr.Web
Security Space 5.0.0.12171
ESET
Smart Security 3.0.672.0
F-Secure
Internet Security 2009 (9.00 build 148)
Kaspersky
Internet Security 2009 (8.0.0.454)
McAfee
Internet Security 2009
Norton
Internet Security 2009 (16.0.0.125)
Outpost
Security Suite Pro 2009 (6.5.2358.316.0607)
Panda
Internet Security 2009 (build 14.00.00)
Sophos
Anti-Virus 7.6.2
Trend
Micro Internet Security 2009 (17.0.1224)
VBA32
Personal (3.12.8.1)
ZoneAlarm Security Suite 8.0.059.000

При установке антивирусов использовались рекомендуемые
производителем настройки по умолчанию и производились все рекомендуемые
программой действия (перезагрузка системы, обновление и т.д.). Все
компоненты защиты активировались, если это не было предусмотрено после
установки автоматически.

Тестирование самозащиты антивирусов проводилось по следующим параметрам:

Самозащита на уровне системы:
1. изменение разрешений на доступ к файлам;
2. изменение разрешений на доступ к ключам реестра.
Защита собственных файлов:
1. модификация/удаление модулей;
2. удаление антивирусных баз.
Защита своих ключей реестра:
1. модификация/удаление значимых ключей реестра (вручную):
  - ключи автозапуска;
  - ключи сервисов;
  - ключи конфигурации.
Защита своих процессов:
1. Предотвращение завершения процессов:
  - из TaskManager;
  - API с уровня пользователя:
    1. стандартно (TerminateProcess);
    2. завершить все ветки процесса (TerminateThread);
    3. завершить процесс как задачу (EndTask);
    4. завершить процесс как работу (EndJob);
    5. завершить процесс при помощи дебагера (DebugActiveProcess);
    6. модификация указателя инструкций (EIP);
    7. сообщение от рабочей станции (WinStationTerminateProcess);
    8. "bruteforce" message posting;
    9. удаление после перезагрузки.
  - посылка сообщений (SendMessage API):
    1. WM_CLOSE;
    2. WM_QUIT;
    3. WM_SYSCOMMAND/SC_CLOSE;
    4. Комбинация пунктов 1-3;
    5. PostMessage;
    6. SendMessageCallback;
    7. SendNotifyMessage;
    8. PostThreadMessage.
  - API с уровня ядра:
    1. ZwTerminateProcess;
    2. ZwTerminateThread.
2. Модификация процесса/кода:
  - инжектирование кода (CreateRemoteThread);
  - инжектирование DLL;
  - изменение атрибутов защиты памяти (VirtualProtectEx);
  - запись в процесс (WriteProcessMemory).
3. Выгрузка драйверов

Проверка самозащиты производилась при помощи
специально подготовленных утилит, имитирующих атаки или вручную, с правами локального администратора. После
каждой атаки обязательно проводилась проверка работоспособности
антивируса (его отдельных модулей, активных процессов, сервисов,
драйверов).

Если в ходе тестов на завершение/модификацию
процессов один из них завершался (т.е. атака на него удавалась), то все
остальные процессы подвергались атаке повторно.

Шаги проведения тестирования:

Установка антивирусной программы на чистую машину;
Перезагрузка системы;
Проверка успешной установки и работоспособности всех модулей программы;
Сохранение образа виртуальной машины;
Проверка самозащиты по одному из параметров;
Повторная проверка работоспособности модулей программы;
Откат системы к сохраненному ранее образу (пункт 4).

Для каждой антивирусной программы выделялась отдельная
чистая виртуальная машина - шаг 1. После каждой проверки самозащиты
антивируса по какому-либо критерию, машина откатывалась в
первоначальное состояние - шаг 4.