Оно обычно в Application Data =) По большому счету, антивирусникам нужно проявить некоторую волю — заблокировать 99% подозрительных действий, и быть готовыми ответить за оставшийся 1%. А этого они как раз и боятся (пользователи завалят их меседжами, что у них keygen не запустился). С другой стороны, даже Microsoft пишет в своем соглашении, что за весь ущерб, приченненный за правильное или неправильное использование их софта, компания ответственности не несет. Что мешает сделать так же антивирусникам? Ответ, Microsoft — монополист, а антивирусов — много. В случае какого-либо косяка большинство пользователей мигрируют на другой антивирус.
Вы же не разрабочик антивируса, поэтому не сможете мне ответить на вопрос:
когда реализуют нормальный детект малвари по svchost.exe, запущенном от имени пользователя (на минутку, прием, который известен на протяжении последних пяти лет). И если серьезно, я действительно надеюсь, что какой нибудь разраб после этой статьи пойдет и допилит пару строк в антивирусном движке и жить станет чуть-чуть лучше.
Ну скажем так, для распространения троянов ВСЕГДА (за некоторыми исключениями) используются ошибки в коде. Тут уместен еще один пример, запуск java аплетов только из белого списка. Но это уже вопрос не к антивирусникам, а к админам. И тут главная проблема, что обновление java может вызвать неработоспособность системы, написанной под конкретную версию.
И потом Secure Boot призван защитить от буткитов, а их не так уж и много. Все что можно стырить — можно сделать в usermode, естественно с высоким риском быть обнаруженным. Но, как показывает практика, иногда не обнаруживается годами =)
Есть одна проблема — они за это деньги получают, а я — нет. К тому же интересные сочинения на тему «Как я провел лето», тоже нужно уметь писать, в любом случае — спасибо за содержательный коммент в стиле кг/ам.
Была такая мысль, кинуть в заметке еще камень в огород линуксоидов. Но подумал, что пришьют очередное разжигание холивара. Вирусов и троянов для Linux (рабочих) действительно немного. А вот вредоносов уже достаточно, причем явно не на коленке написанных. Как всегда сказывается сегментация рынка ПК, на десктопах — винда, на серверах — Linux. Поэтому вредоносы там очень специфические — или редирект, или DDOS (и все крутиться на серверах).
А все и не нужно детектить, достаточно того, что сейчас используется. Или по простому, поведенческие правила (или движок), на сегоднешний день, не реализовывают защиту от методик обхода, применяемых в современных образцах малвари.
Ну я верю, что есть еще среди антивирусников адекватные люди =) Которые на голом энтузиазме запилят крутую проактивку, аккурат после моей гневной статьи =) Тут же все просто — делаеш обход своего антивируса, и сам фиксишь дырки (и так до нужного уровня вложенности, а то в бесконечный цикл можно зайти).
Ну так языком трепать — не мешки ворочать =) А если серьезно, я просто указываю на те недочеты, которые имеют место быть, и которые (как мне кажется), никто и не горит желанием пофиксить.
Сам себе отвечаю: изначальный документ — ПОСТАНОВЛЕНИЕ СОВЕТА МИНИСТРОВ РЕСПУБЛИКИ БЕЛАРУСЬ от 15 мая 2013 г. № 375, Об утверждении технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность». В нем и написано в главе 3: «Средства защиты информации выпускаются в обращение на рынке в установленном порядке при их соответствии настоящему техническому регламенту, а также другим техническим регламентам, действие которых на них распространяется». Приказ ОАЦ определяет список ГОСТов, по которым проводится сертификация. Поэтому все продаваемые антивирусы подлежат обязательной сертификации. А ограничение скачивания бесплатного CureIt! — это личная инициатива Dr.Web.
Dr.Web жгет — теперь из Беларуси нельзя CureIt! скачать (детект по IP). Вообще ситуация анекдотическая — сертификация требуется для продуктов, которые будут продаваться. Для госорганов использование сертифицированных продуктов обязательно. Кто нибудь тыкнет пальцем в закон где предписано сертифицирование всех антивирусов, которые продаются на территории РБ? А CureIt я вообще не покупаю, но добрые ребята из Dr.Web не дают мне нарушить неизвестно что, молодцы!
Где новый стандарт? Все вышеперечисленное сертифицировалось по СТБ 34.101.8-2006, и в 94 приказе упомянут для антивирусов этот же стандарт, какая пересертификация?
По-моему кто-то панику нагоняет. На сайте ОАЦ в разделе Реестр средств защиты информации, прошедших сертификацию лежит файл формата xls со списком сертифицированных антивирусов. В частности туда входят:
Kaspersky Endpoint Security 8 для Windows и Linux; ESET NOD32 Business Edition 4.2; Symantec Endpoint Protection 12.
Нет у них трекеров. Есть так называемый trust ring — совокупность ПЭВМ, имеющих прямой доступ извне, то есть не под firewall или nat, зараженных ранее. В новые версии ZeroAccess прошивается часть ПЭВМ из trust ring, а потом в ходе работы список пиров постоянно уточняется.
когда реализуют нормальный детект малвари по svchost.exe, запущенном от имени пользователя (на минутку, прием, который известен на протяжении последних пяти лет). И если серьезно, я действительно надеюсь, что какой нибудь разраб после этой статьи пойдет и допилит пару строк в антивирусном движке и жить станет чуть-чуть лучше.
Kaspersky Endpoint Security 8 для Windows и Linux; ESET NOD32 Business Edition 4.2; Symantec Endpoint Protection 12.
P.S. Пока писал — опередили =)
> Так уже было ведь в прошлом году
Ссылку в студию!
И, извините за назойливость, причем тут i2p?