123 ответов в этой теме

[Anton_G]

не существует еще таких программ которые бы полностью исключали попадание в ядро. и навряд ли появятся. а про методы конкурентов... лучше бы чем полезным занялись.

оно конечно не 100%, но возиться писателю вируса придется.
а доктора веба без возни - иди в ядро и делай что надо.

т.е. разница не в невозможности попасть в ядро, а в стоимости этой реализации, и возможности применять ее либо массово, либо лишь некоторыми вирусописателями.

и потому я выше и написал - что текущая самозащита может мешать лишь пользователю и дай бог чтобы не сильно мешала. а авторам вирусов - она не помеха.

[Konstantin Yudin]

Повторяю - каспер 2009. попробуйте вынести его процессы из памяти (их 2 штуки).
заранее говорю - ничего не выйдет у вас.

не надо верить рекламе. дыры и у них есть. фишка в том что защищатся от системы нельзя она должна иметь доступ к поцессам, приходится считаться с ней, а через нее и пролезть можно в антивирус. тут ничего не сделать, такова винда да и не только. кому надо выносят. помнится на этапе разработки мы ставили эксперимент, а давай защититмся от всех, чтобы никто к нам не залез, так винда даже запустить не смогла потом наши процессы, а ей там надо по патчить, по хучить, и причем с максимальными правами, т.к. пофигу им что для чтения нужно использовать права на чтение, All и хоть кол теши. хотя вынести антивирус это палевно, лучше сделать чтобы он висел в памяти и ничего не ловил. и это вполне можно сделать.

[YVS]

оно конечно не 100%, но возиться писателю вируса придется.
а доктора веба без возни - иди в ядро и делай что надо.

В ядре все равны (с)
Так что, мне кажется, и возни там особой не будет...

т.е. разница не в невозможности попасть в ядро, а в стоимости этой реализации, и возможности применять ее либо массово, либо лишь некоторыми вирусописателями.

Попалась мне давеча одна программа из категории ХИПС.
При детальном анализе я слегка офигел - она хучила практически все системные сервисы
Но это ей не помогло - выносится из ядра без шума и пыли.

[Konstantin Yudin]

и потому я выше и написал - что текущая самозащита может мешать лишь пользователю и дай бог чтобы не сильно мешала. а авторам вирусов - она не помеха.

это вы уже проверили или так по говорить?

[Konstantin Yudin]

В ядре все равны (с)
Так что, мне кажется, и возни там особой не будет...

Попалась мне давеча одна программа из категории ХИПС.
При детальном анализе я слегка офигел - она хучила практически все системные сервисы
Но это ей не помогло - выносится из ядра без шума и пыли.

SSM?

[YVS]

SSM?

Угу
Фришная версия.

[Konstantin Yudin]

Угу
Фришная версия.

так и думал. это из серии зачем думать головой... я когда первый раз увидел, дар речи потерял.

[Anton_G]

В ядре все равны (с)
Так что, мне кажется, и возни там особой не будет...

это когда Вы в него уже попали. что умеет делать совсем не каждый программер. нет?

Попалась мне давеча одна программа из категории ХИПС.
При детальном анализе я слегка офигел - она хучила практически все системные сервисы
Но это ей не помогло - выносится из ядра без шума и пыли.

никто не спорит.
а попасть в ядро с этим хипсом? и с вебом?

хотя о чем это я.
у есета вон тоже хипса нету, тоже выноситья на раз-два их вроде бы "антивирус".
но рынка они побольше держат. видать по нему и равняться надо, по есету.
они знают что делать, и нашего брата научат.

или нет?

[basid]

Представляю. Например, каспер. Попробуйте вынести его тем же таскменеджером анвира...

Когда мне понадобилось деинсталировать Касперского, а пароль на выгрузку я не знал, то ничего, кроме штатных средств и ребута - не потребовалось. Антивирус был остановлен и деинсталирован штатно.
Точно так же не потребовалось ничего, кроме штатных средств и одного ребута для удаления ошмётков Панды, когда некорректно отработал штатный "унинсталер".

О чём это я ...
Да!
Если программа устанавливается и удаляется, то попытки спрашивать пароль на удаление и тому подобные шалости ничего не добавляют к возможностям самозащиты.

[YVS]

это из серии зачем думать головой...

это когда Вы в него уже попали. что умеет делать совсем не каждый программер. нет?

Что-то я не совсем понял - по Вашему в ядро трудно попасть?
Или Вы предлагаете наставить побольше "капканов" на пути в ядро а-ля ХИПС?

у есета вон тоже хипса нету, тоже выноситья на раз-два их вроде бы "антивирус".
но рынка они побольше держат.

А откуда информация о соотношении сил на рынке защитного ПО? Не с сайта ли ЕСЕТА?

видать по нему и равняться надо, по есету.
они знают что делать, и нашего брата научат.

Было бы чему учиться...

[Anton_G]

Что-то я не совсем понял - по Вашему в ядро трудно попасть?
Или Вы предлагаете наставить побольше "капканов" на пути в ядро а-ля ХИПС?

именно так.
тогда самозащита сможет защищать антивирус от очень порядочного процента вредоносного программного обеспечения.
от всех понятно не сможет.
но сейчас она даже в теории не способна защищать антивирус от руткитов, т.е. степень реальной самозащиты антивируса без хипса - стремиться к нулю, с ним -стремиться к 100%
очевидно, все это при установке антивируса на незараженную систему.
в случае зараженной - все печально, и не факт, что антивирус со своими самозащитами вообще установить получится.

Было бы чему учиться...

именно так я и сказал, правда завуалировано.

[YVS]

но сейчас она даже в теории не способна защищать антивирус от руткитов, т.е. степень реальной самозащиты антивируса без хипса - стремиться к нулю, с ним -стремиться к 100%

Похукать все, что можно - это не выход.
Эх, если бы ХИПС был решением всех проблем...

очевидно, все это при установке антивируса на незараженную систему.
в случае зараженной - все печально, и не факт, что антивирус со своими самозащитами вообще установить получится.

А Вы проводили реальный эксперимент?
Инсталлятор Dr.Web "учитывает" возможную инфицированность системы.

именно так я и сказал, правда завуалировано.

Вуалировали, вуалировали, и вывуавалировали

[АнтоN]

скачал архив, в котором 100 вирей, 5 веб нашёл 98, а 4,44 находил все 100. грустно

[YVS]

скачал архив, в котором 100 вирей, 5 веб нашёл 98, а 4,44 находил все 100. грустно

Хм, а какое это имеет отношение к самозащите? см. заголовок темы
И кто мешает отправить эти 2 файла в вирлаб со своими комментариями?

[АнтоN]

так 4,44 всё находил...а про то как от защиты избавиться, так писал уже, как драйвер самозащиты отключить

[YVS]

так 4,44 всё находил...

Ошибки у всех случаются.

а про то как от защиты избавиться, так писал уже, как драйвер самозащиты отключить

Меня не интересуют способы отключения драйвера самозащиты
Я просто не понял, какое отношение к самозащите имеет тот факт, что 5-ка не нашла 2 файла, которые с успехом находила 4-ка?

[АнтоN]

[headliner]

легко!

Вы, возможно, сможете. А Gmer, RKU вроде не справились. корпоративный симантек тоже устоял. Его я сам проверял.

[headliner]

Инсталлятор Dr.Web "учитывает" возможную инфицированность системы.

Не совсем. В соседней ветки привели пример невозможности установки и последующий откат инсталлера, когда вирус просто заблокировал изменение ветки Run в реестре. Есть над чем работать.

[Eugeny Gladkih]

Не совсем. В соседней ветки привели пример невозможности установки и последующий откат инсталлера, когда вирус просто заблокировал изменение ветки Run в реестре. Есть над чем работать.

тут ничто не поможет. кроме CureIt!