Перейти к содержимому


Фото
* * * * * 1 Голосов

drweb-cli


  • Please log in to reply
94 ответов в этой теме

#81 Alexls

Alexls

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 28 Июнь 2017 - 15:17

еще раз повторю, задача движка найти вирус, и крафченные данные для него обычное дело, он их просто игнорит и не считает проблемой. наша задача не валидировать целостность а находить вирусы везде.
в данном случае движок не видит внутри архива, поэтому и ок

 Печалька, конечно.

 

Но вопрос не в том должен ли АВ проверять целостность или нет.

Так как движок эту самую целостность проверил зафиксировал ошибку (т.к. MIME сигнатура в наличии и список файлов доступен) и ушел на ветку проверки другого типа файла

вопрос, в данном случае в том - почему этот самый движок не посчитал нужным сообщить об этой ошибке и о том что данный конкретный файл НЕ БЫЛ проверен как zip архив.

 

По сути чистый косяк (и отнюдь не движка) а программы в целом.

 

А основной прикол в том, что в лицензии ФСТЭК, например, написано, что Ваше средство соответствует определенному документу по пункту ОБЕСПЕЧЕНИЯ отсутствия незадекларированных возможностей (в нашем случае вирусов) в  проверенных  файлах

.Вы можете гарантировать выполнение данного условия для приложенного файла (я уж не говорю про файлы с паролем, кстати)

 

P.S.

К сожалению данный файл был просто обнаружен и я не вижу возможности его корректного воссоздания но уже с зараженным файлом.



#82 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 28 Июнь 2017 - 15:21

> почему этот самый движок не посчитал нужным сообщить об этой ошибке и о том что данный конкретный файл НЕ БЫЛ проверен как zip архив.

нельзя сообщить о том чего не видишь.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#83 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 28 Июнь 2017 - 15:22

> что Ваше средство соответствует определенному документу по пункту ОБЕСПЕЧЕНИЯ отсутствия незадекларированных возможностей (в нашем случае вирусов) в проверенных файлах

не нужно мешать все в кучу и притягивать за уши.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#84 Alexls

Alexls

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 28 Июнь 2017 - 15:38

> почему этот самый движок не посчитал нужным сообщить об этой ошибке и о том что данный конкретный файл НЕ БЫЛ проверен как zip архив.

нельзя сообщить о том чего не видишь.

1. Очень жаль, что ВЫ не считаете возможным комментировать отдельные предложения.!!! (так так в предложении выше написано кое-что еще)

2. К моему глубокому сожалению в определенном сегменте Ваш продукт занимает доминирующее положение и в этом сегменте во главе угла оказывается как раз факт  ОБЕСПЕЧЕНИЯ отсутствия ( а в лицении другого ведомства вообще фигурирует термин  "Защита").

 

Вот мне например не понятно, как факт не информирования пользователя о наличии потенциальной угрозы согласуется с выше сказанным.

 

Ну еще раз вопрос

Вы можете гарантировать выполнение данного условия для приложенного файла (я уж не говорю про файлы с паролем, кстати)


#85 Alexls

Alexls

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 30 Август 2017 - 07:38

Продолжаем

Сформирован массив файлов в количестве - 8605 штук

Запускаю drweb-ctl scan -a несколько (до 10) раз подряд

 

получаю два результата (распределение случайное)

 

Scanned objects: 8605, scan errors: 3, threats found: 7268, threats neutralized: 0.

 

или

 

Scanned objects: 8605, scan errors: 3, threats found: 7269, threats neutralized: 0.
 

это как???

 

PS

 

FileCheck 10.1.0.0.1503252330
ScanEngine 10.1.0.0.1503252330
Core engine 7.00.12.03050 (700) API 2.2, shell API 2.2
 



#86 Danil Biruykov-Romanov

Danil Biruykov-Romanov

    Member

  • Members
  • 180 Сообщений:

Отправлено 30 Август 2017 - 12:22

Можете прикрепить архив?


Оптимальное соотношение сигнал/шум в музыке noise.

#87 Alexls

Alexls

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 30 Август 2017 - 12:28

Архив прикрепить можно. Но как выяснилось поблема гораздо сложнее

 

[root@Haba_BSD /opt/drweb.com/bin]# ./drweb-ctl.real scan -a --ScanTimeout 0 --HeuristicAnalysis On  /opt/viruses11 | grep -E 'GOLDBUG|Scanned'; echo
/opt/viruses11/GOLDBUG.COM - Ok
Scanned objects: 8605, scan errors: 3, threats found: 7268, threats neutralized: 0.
Scanned 9431.04 KB in 42.01 s with speed 224.52 KB/s.

[root@Haba_BSD /opt/drweb.com/bin]# ./drweb-ctl.real scan -a --ScanTimeout 0 --HeuristicAnalysis On  /opt/viruses11 | grep -E 'GOLDBUG|Scanned'; echo
Threat #2028: Ctl-1281: "/opt/viruses11/GOLDBUG.COM" - GoldBug
/opt/viruses11/GOLDBUG.COM - infected with GoldBug
Scanned objects: 8605, scan errors: 3, threats found: 7269, threats neutralized: 0.
Scanned 9431.04 KB in 43.24 s with speed 218.13 KB/s.

[root@Haba_BSD /opt/drweb.com/bin]# ./drweb-ctl.real scan -a --ScanTimeout 0 --HeuristicAnalysis On  /opt/viruses11 | grep -E 'GOLDBUG|Scanned'; echo
Threat #2028: Ctl-1310: "/opt/viruses11/GOLDBUG.COM" - GoldBug
/opt/viruses11/GOLDBUG.COM - infected with GoldBug
Scanned objects: 8605, scan errors: 3, threats found: 7269, threats neutralized: 0.
Scanned 9431.04 KB in 43.83 s with speed 215.18 KB/s.

[root@Haba_BSD /opt/drweb.com/bin]# ./drweb-ctl.real scan -a --ScanTimeout 0 --HeuristicAnalysis On  /opt/viruses11 | grep -E 'GOLDBUG|Scanned'; echo
/opt/viruses11/GOLDBUG.COM - Ok
Scanned objects: 8605, scan errors: 3, threats found: 7268, threats neutralized: 0.
Scanned 9431.04 KB in 44.42 s with speed 212.32 KB/s.

[root@Haba_BSD /opt/drweb.com/bin]# ./drweb-ctl.real scan -a --ScanTimeout 0 --HeuristicAnalysis On  /opt/viruses11 | grep -E 'GOLDBUG|Scanned'; echo
/opt/viruses11/GOLDBUG.COM - Ok
Scanned objects: 8605, scan errors: 3, threats found: 7268, threats neutralized: 0.
Scanned 9431.04 KB in 41.08 s with speed 229.58 KB/s.

[root@Haba_BSD /opt/drweb.com/bin]# ./drweb-ctl.real scan -a --ScanTimeout 0 --HeuristicAnalysis On  /opt/viruses11 | grep -E 'GOLDBUG|Scanned'; echo
/opt/viruses11/GOLDBUG.COM - Ok
Scanned objects: 8605, scan errors: 3, threats found: 7268, threats neutralized: 0.
Scanned 9431.04 KB in 39.17 s with speed 240.78 KB/s.

[root@Haba_BSD /opt/drweb.com/bin]# ./drweb-ctl.real scan -a --ScanTimeout 0 --HeuristicAnalysis On  /opt/viruses11 | grep -E 'GOLDBUG|Scanned'; echo
Threat #2029: Ctl-1437: "/opt/viruses11/GOLDBUG.COM" - GoldBug
/opt/viruses11/GOLDBUG.COM - infected with GoldBug
Scanned objects: 8605, scan errors: 3, threats found: 7269, threats neutralized: 0.
Scanned 9431.04 KB in 41.51 s with speed 227.21 KB/s.
 

Результат стабилен на нескольких машинах

 

При этом проверка только одного файла GOLDBUG.COM стабильно дает infected



#88 Alexls

Alexls

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 30 Август 2017 - 13:30

Собственно архив

Прикрепленные файлы:

  • Прикрепленный файл  vir.zip   10,11Мб   4 Скачано раз


#89 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 30 Август 2017 - 13:37

>Архив прикрепить можно. Но как выяснилось поблема гораздо сложнее

типичный баг движка/баз. сенкс
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#90 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 30 Август 2017 - 13:40

Это что за трэш? Вирусы под дос?


Сообщение было изменено Aleksandra: 30 Август 2017 - 13:40

Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#91 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 355 Сообщений:

Отправлено 01 Сентябрь 2017 - 08:49

Это что за трэш? Вирусы под дос?

 

Так их еще периодически присылают в архиве с именем LIVE_SAMPLES_FOR_AV_TESTING ;)



#92 Alexls

Alexls

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 01 Сентябрь 2017 - 11:08

To

Aleksandra

 

Лично мне интересен другой вопрос

Если эти файлы с вирусами такие древние, то почему вирусов 7268, а не 8602 (3 ошибки) как должно быть.



#93 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 3 575 Сообщений:

Отправлено 01 Сентябрь 2017 - 11:15

Если эти файлы с вирусами такие древние, то почему вирусов 7268, а не 8602 (3 ошибки) как должно быть.

Вам уже ответили выше. Нужно ждать когда исправят.
Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.

#94 Alexls

Alexls

    Newbie

  • Posters
  • 70 Сообщений:

Отправлено 01 Сентябрь 2017 - 12:51

To

Aleksandra

 

Ню-ню

 

За окном 2017 к закату клониться.

Файлы 2011 или даже раньше.

 

!!! Даже не 3, а 2 раза по 3 !!!!



#95 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 01 Сентябрь 2017 - 13:21

Alexls, дело не в файлах, очевидно. А в баге.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых