Интересует принцип распознавания сплоитов. Я только знаю, что сначала антивирь смотрит страницу сплоита, и если его там все устраивает, то он его отпускает. Но, допустим, что сплоит зашифрован. Тогда идет расшифровка и сплоит выполняется. Но, я слышал, что антивири проверяют не только то, что предлагает им непосредственно сама страница сплоита, но и то, что в итоге передается браузеру в отдекоденном виде. Получается, нет смысла от крипторов или как? Что тогда делать? Менять тело сплоита постоянно? Спасибо
Кажется, все зависит от антивируса и вида сплоита. Нуу...Например, антивирь знает, что на 135 порту есть уязвимость. Неважно какая, она просто есть. Антивирус видит, что сплоит. Безобидный на вид ломится в порт, в эту дыру. Антивирь не знает, с какой целью он это делает, но автоматом поднимает тревогу и блочит сплоит. Думаю. Если анивирь с проактивной защитой, криптор, думаю, мало полезен. Он лишь снижает возможность распознавания, но не исключает ее полностью.
тут надо конкретно знать, как ав детектят сплоит иногди помогает вставить паузы, допустим первый слой крипта -> пауза 5-10сек -> второй слой крипта -> сплоит. для некоторых ав такая тема прокатывает. иногда необходимо провести обсфуркацию сплоита. ну и все в том же духе.
Вот проект от n0153r, UASC: http://uasc.org.ua/2009/05/анти-експлоіт/ Скачать: http://uasc.org.ua/files/AntExp.rar
ерунда какая-то, всё сводиться к Code: if Enabled then if getMemorySize>MemorySize*1024*1024 then Suspend; уж не стал я бы на это полагаться, тем более повесив это дело на таймер ))
