|
Test der Erkennungsrate - benötige Trojaner-Testdateien
(https://www.trojaner-board.de/185525-test-erkennungsrate-benoetige-trojaner-testdateien.html)
Test der Erkennungsrate - benötige Trojaner-Testdateien Hallo! Wir möchten in unserem Unternehmen die Erkennungsrate einer Software testen und zu diesem Zweck auf einem Testsystem unterschiedliche Trojaner und Ransomware starten. So lustig es klingt. Die Kunden sind diesen kleinen Schädlingen ständig ausgesetzt, jedoch wir tun uns schwer Testmaterial zu finden, da in den meisten Foren (logischerweise!!!) der Upload bzw. das Verlinken solcher Schädlinge unerwünscht ist. Gibt es hier ein paar Spezialisten die aus ihrem Nähkistchen ein wenig Binärschrott teilen würden ? http://www.trojaner-board.de/images/...ankeschoen.gif Gruß |
Sowas wird hier nicht öffentlich verteilt. Wenn du dein AV testen willst nimmste EICAR. |
Danke. Es geht darum, dass das Programm Verhalten analysiert und somit eine ausführbare Datei gut wäre. Hier öffentlich hochladen ist gar nicht mein Ziel. In Link zu einem Schädling per PM wäre schon sehr hilfreich. Man muss eben sammeln. ;D |
Wie gesagt nimm EICAR. Das Testsample wird in verschiedenen Formaten angeboten zum Download. EICAR wird immer erkannt, das ist besser um zu sehen ob ein AV so eingestellt ist wie es erwünscht ist. |
Echte "Trojaner" (z. B. Banking) und Ransomware haben wir hier auf TB kaum noch (was nicht heißt, dass ich keine samples hätte :D). Über 80% der User, die zu uns kommen, haben Probleme mit Adware/PUP. Und in diesem Bereich sind die allermeisten AV-Programme schlecht. Anstatt irgend ein AV-Tool zu testen, sollte man den Kunden lieber mitteilen, dass kein AV-Tool 100% der Schadsoftware erkennt, denn alles andere ist gelogen. Aber das ist ja der Witz an der ganzen Sache... man müsste als AV-Hersteller eingestehen, dass das eigene Tool nicht alles erkennt... welch Ironie. Und wer Ransomware auf seinem PC hat, der sollte erst mal sein Verhalten im Internet überdenken und lernen, wie man private Daten absichert. |
Zitat:
|
Sammeln: was spricht dagegen auf eurem Server ein Webinterface einzurichten auf das eure Kunden verdächtige Dateien hochladen? Da die meisten Mailprovider scannen können sie euch diese Dinger nicht einfach mailen. Ein anderer Klassiker: eine Honeypot Mailadresse unter einer unverdächtigen Domain anlegen, und zwar ohne Scanner und dann einfach die Drive By Downloads die massenhaft als Links in Spam kommen analysieren. Die Honeypot Adresse weit verbreiten. Ich erhalte gerade wieder auf meine Web,de Adresse eine Menge Spam dieser Art, zur Teit rollt wohl wieder eine entsprechende Welle. |
Was für ein Unternehmen soll das denn sein? Sehe ich das richtig, das ihr versucht eine eigene Lösung auf die Beine zu stellen? |
Die wollen ihre Sicherheitslösung testen. Also wann wird was wird erkannt und wann nicht. |
Also das übliche, ich habe gar keine Ahnung will aber mal schauen was passiert. Spannend. ;-) Das kann ja nur in die Hose gehen. Weil wenn man noch nicht mal weiß wie man an solchen "netten" Tools kommt, sollte man gar nicht erst testen. |
Eben...genau dafür ist EICAR da. Eine ungefährliche aber fest definierte Zeichenfolge, die JEDES AV erkennen muss. Genau für Testzwecke definiert. Damit man nicht mit Schadcode rumhampeln muss. |
Wenn du mit EICAR die Erkennungsrate deiner AV Lösung testest kommst du auf 100%. _Etwas_ optimistisch. |
Ich meinte dass, dass man mit EICAR testen soll, ob die Konfig so ist wie erwünscht. Ob das AV auch tatsächlich anspringt und zB auch reagiert in bestimmten Situationen. Oder ob es still ist wenn man bestimmte Bereiche als Ausnahme definiert hat. Die Erkennungsraten bei einer hohen Anzahl von echten Malwaresmaples kann man nicht selbst vernünftig testen. Da muss man als Anhaltspunkt die Ergebnisse von Testlaboren nehmen und auch die sind oft umstritten wegen tw. echt depperten Testbedingungen. |
Zitat:
Gruß digi |
du hast ne pm |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board