То есть вы заранее дали мне невыполнимую задачу, то что в архиве расстреливается на месте. Сразу.
вы не правы. Вам не нужен криптор, который не палится вообще ни одним из ав. Достаточно найти такой, который не палится кисой, не более того. А то, что в архиве - я уже сказал, почему палится. В импорте есть 4-5 характерных функций, по ним и палит. Можно сделать не статический импорт, а поиск апи из экспорта, но это усложняет код и не несет никакого смысла. Задача была в том, чтобы проверить, как киса реагирует на файлы, не определяемые сигнатурно. Все вирусы, которые попадают в сети, защищены крипторами. Ни один не выходит в голом виде. Соответственно, на момент "атаки" на ваш компьютер киса не сможет назвать файл вредоносным и позволит его запустить. А уже после запуска он ничего не увидит.
40.63% доверяют кисе , т. е. большинство
да хай доверяють, я что, против?
Вот только технологии инжекта были известны еще во времена легендарного 29А (журнал такой вирусный). Не уметь ловить запись в чужой процесс - моветон.
Прописывание в винлогон еще ничего не значит
попадание 152мм снаряда в коленку солдата еще ничего не значит... Не не, не так. Вот так: появление группы спецназа гру в штабе управления ядерными силами сша еще ничего не значит... Да как же это ничего не значит?
)) А как будет определяться вредоносность другого кода? Думаете, там нейросети?
Позвольте провести краткий экскурс в технологии антивирусов. Изначально, чтобы ловить вирусы, придумали сигнатурное сканирование. Сигнатура - последовательность байт, которую можно встретить только в вирусе и больше ни в какой программе. Вирусы стали полиморфными и сигнатур в них больше не осталось. Появился эвристический метод анализа - антивирус смотрел на размеры файла, функции в импорте, строки в данных, наличие циклов в коде, напоминающих расшифровщики (именно таким способом касперский палит мой файл). Вирусы стали подделывать эти признаки - убирать подозрительные функции из импорта, маскировать циклы неявными переходами, добавлять ложные циклы и т.д. Эвристика отвалилась. На свет появился поведенческий анализ (проактивная защита): антивирус позволял запускать приложения, но внедрял в каждое из них свой компонент. Этот компонент отслеживал подозрительные действия, которые были пропущены эвристикой. Нормальный ав не позволит одному приложению запустить другое, не позволит открыть чужой процесс на запись, не позволит создать сервис или загрузить драйвер, не позволит выйти в интернет, не позволит прописаться в автозагрузку.
И вот почему все эти действия опасны. Представьте вирус, который пропустила эвристика. Т.е. вирус запустился. Ему надо выйти в интернет. Но антивирус блокирует доступ незнакомым приложениям в интернет или к реестру. Онлайн, реестр, запуск чужих приложений доступны только доверенным программам. Что делать вирусу? Правильно, вирус открывает на запись винлогон, копирует себя в него и от его имени из его адресного пространства делает запись в реестр, отключая WindowsFileProtection. Делает инжект в эксплорер и от его имени запускает любое нужное себе приложение. Делает инжект в иэксплорер, оперу и выходит в интернет. Антивирус не скажет ни слова, т.к. все эти действия делают уже РАЗРЕШЕННЫЕ пользователем программы. Именно поэтому важно запрещать вирусам запись в чужие процессы, тем более системные. Но киса этого не делает. А ведь это не уязвимость, это технология 2000х! Я не знаю более знаковой и распространенной и классической технлогии, чем инжект. А кисе пофиг.
Для разнообразия проверьте реальное вредоносное, ну или тот же самый код, только предварительно настроив Контроль программ в кисе, как написано тут. только не удивляйтесь если помрут пара прог, использующие левые способы прописки в системе.
вот только вирусы - это не только винлокеры. Это всякие зевсы, андромеды, кликеры и прочая грязь, которая может воровать данные. Кстати, инжект в оперу может привести к перехвату введенных данных. Успехов кисе в защите от перехвата уже после инжекта
P. S. вопрос на засыпку: сколько антивирусников отреагируют на просто соданный бат файл брошенный на рабочий с командой "удалить папку видоус и отфармотироваать диск С"
на сам бат, возможно, мало. А вот создание и запуск бата должны отслеживать все, иначе это говно, а не антивирусы