> касперский ... одно из лучших решений на рынке по вытягиванию бабла и пиаруfixed
Ну ладно, если не так жирно:
> одно из лучших решений
Оно уже научилось, при настройках по умолчанию, ловить под виндой классический (ибо уже лет 11, как все скрипто^W VB/NET-кидозники используют) RunPE/PE-MemoryLoader типа:
CreateProcess(... SUSPENDED);
VirtualProtectEx(... RWX) ;
<дофига крэпа, который был нужен только в оригинальном PoC,
ибо там загружалось с диска и который все передирали,
даже не удосужившись глянуть в спеки PE>
WriteProcessMemoryEx(_расшифрованный малварь_, addr)
(Zw)ResumeThread
?
Или все еще (последний раз года полтора или два назад тыкал) не хотят "ложных срабатываний"?
Ну да, запустить дочерний процесс и полностью изменить его образ в памяти - это ведь нужно большей части софта повседневно! =)
А то, что сканирование такого екзешника на диске и повторное, после запуска - в памяти (как и "чудо-эмуляция" при запуске, хотя уже не помню, кто именно этим баловался) сожрут цпу и раму, но не выявят злобный мальварь (т.к. он еще зашифрован) - это дело десятое!
А виндовый dnsclient-сервис, через который любая прога может сливать инфу в сеть в обход этих "огнестен" и "сикурити суитов", так же все еще не блокируют по умолчанию? Чтобы значит, ни у кого котятки в браузерах не перестали открываться (так по крайней мере у них в форуме было написано - еще в 2009, хотя комодам и оутпостам это не мешало)?
Ну да, это же надо все вызовы к dnsapi.dll фильтровать и не факт, что все поймаешь. А не если поймал - гадать, легитимный запрос системы/браузера dnsclient шлет или "бракованный".
А еще меня всегда умиляло то, что ни у кого "проактивная защита" не заводилась при чтении файлов с паролями - ну да, это же вполне нормально и не подозрительно, когда левая прога лезет в профиль хромого или огнелиса, да! ))
А уж об отлове трафика вебдав-клиента, интегрированном в ХРюшу и выше, и говорить нечего - уже лет десять регулярно тыкаю и никто(!) из впаривателей "безопасных секурных тырнетсвитов совсем совсем не дорого" так и не почесался - бери и сливай данные :)
Главное, пользователь, видя тормоза системы, знает - ОНО работает, значит он защищен!!1
> этот антивирус ставят чаще всего на телефоны и персоналки дома.
А еще плюют через левое плечо! И верят в то, что рог носорога улучшает потенцию (хотя тут хоть и может быть эффект плацебо - в отличии от) :)
> твои антивирусы, конечно же, защищают лучше.
Спасибо, я заговоры и наговоры знаю, типа "Не работай под рутом! Не запускай каку из тырьнетов на реальном железе! Разделяй пользователей и влавствуй! Я неуловимый Джо!"- мне не очень надо :)
Но должен признать, касперский все же хорош - открываем любое видео с ним https://www.youtube.com/watch?v=1Uie4IAmVnQ
и ставим литровую банку (или ведро) с водой перед монитором. После окончания сеанса погружаем мобильный или персоналку (можно по частям, но желательно работающую, ибо защищать должен при работе!) - и все! НИКАКИЕ ВИРУСЫ ВАМ БОЛЬШЕ НЕ СТРАШНЫ!
