Комментарии участников:
всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков.А общественность волновалась — нафига нам эти многоядерные процессоры? Чтоб вирусы лучше работали.
Уже давно известно, что многопроцессорная архитектура и большой объем оперативной памяти позволяет Windows глючить и виснуть в несколько раз быстрее!
проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую.
лол кассическая атака race condition — состояние гонок
всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков.
так ли все это упращается? :) по моему угадать когда надо подменить довольно сложно. хотя если ты запущен в системе и у тебя бесконечно колличество попыток — тогда конечно
SSDT значит не все антивири а те кто использует таблицу дескрипторов системных служб лол
В wine кстати прекрасно работают большинство виндовых вирусов :)
Правда хост-машине обычно опасности они не несут…
Правда хост-машине обычно опасности они не несут…
Решение какбы находится в самой статье
Кто мешает "заблокировать" файл на время работы антивируса? То есть можно проверить его наличие или размер, но НЕ ЧИТАТЬ-ПИСАТЬ-ИСПОЛНЯТЬ.
Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, но на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.
Кто мешает "заблокировать" файл на время работы антивируса? То есть можно проверить его наличие или размер, но НЕ ЧИТАТЬ-ПИСАТЬ-ИСПОЛНЯТЬ.
дык меняется же наверное не сам файл, а его образ, считанный в память, и уже проверенный антивирусом. просто представим, что одна программа собрал(а) вирус в другой программе, запущенной параллельно, из безобидных кусочков. windows с ограничениями, но в целом такое допускает.
Желтовато у товарищей получилось. Обыкновенный сигнатурный способ определения вируса обнаружит этот "супервирус".
Ну да. А другого более действенного способа пока и не существует. Как бы не совершенствовались эвристические алгоритмы — они останутся лишь не совсем эффективными эвристическими алгоритмами. Самый надежный способ защиты — изоляция всего от вся.
Ну так он может быть и полиморфным, и руткитом навороченным, но какой тогда толк от способа исследователей Якуба Бречки (Jakub B?e?ka) и Давида Матушека (David Matou?ek)?
Возможно, один из таких вирусов был использован при случаи с Маулем:
Как быть, переходить на Linux?
Взлом WebMoney и прочееmaulnet.ru/archives/12126
Как быть, переходить на Linux?
Непонятно почему минусуют. light.webmoney.ru под файрфоксом в линуксе всяко безопаснее будет старой, не обновленной XP, пусть даже с антивирусом.
