Если уж речь зашла о касперском, то почему бы и не рассказать о некоторых его уязвимостях.
В эмуляторе существует масса уязвимостей для его обхода, одну из них я публиковал недавно здесь. Она заключалась в баге при проверке апи. Очень смешным оказывается то, что эмулятор таже не может нормально обрабатывать виндовые месаджи, что дает нам плюс один к дыркам. А вот еще забавная фишка на тему многострадального эмула — простым циклом можно запаузить выполнение малвара секунд на 10-15, что ему никак не повредит, но вот эмул просто сделает терминейт по таймауту. О целостности системных структур в нем я вообще молчу. С хипсом тоже много веселого. Достаточно посмотреть в сторону rpc хендлера — его вообще нет, что дает полный произвол хотябы в том же AddPrintProvidor(), не требующем привилегий. Что уж тут говорить о приватных дырках, если публичные до сих пор не пофиксены.
На данный момент касперский уже гаснущий антивирус — компания гонится за сроками сдачи продукта, а не за качеством. Последняя версия антивируса яркий тому пример.
Ребятки, такой нескромный вопрос, на главной сие появится должно, как я понял, по достижения определенного количества баллов, так вот, есть где глянуть текущее? Спасибо.
Проактивная защита — защита которая работает в рантайме и контроллирует вызовы апи программой, а эмулятор это часть проверки файла на диске, когда сам антивирус берет файл и скрытно раскручивает его на своей виртуальной машине, анализируя как апи, так и промежуточные сигнатуры.
img696.imageshack.us/img696/9045/33463436.jpg
В эмуляторе существует масса уязвимостей для его обхода, одну из них я публиковал недавно здесь. Она заключалась в баге при проверке апи. Очень смешным оказывается то, что эмулятор таже не может нормально обрабатывать виндовые месаджи, что дает нам плюс один к дыркам. А вот еще забавная фишка на тему многострадального эмула — простым циклом можно запаузить выполнение малвара секунд на 10-15, что ему никак не повредит, но вот эмул просто сделает терминейт по таймауту. О целостности системных структур в нем я вообще молчу. С хипсом тоже много веселого. Достаточно посмотреть в сторону rpc хендлера — его вообще нет, что дает полный произвол хотябы в том же AddPrintProvidor(), не требующем привилегий. Что уж тут говорить о приватных дырках, если публичные до сих пор не пофиксены.