Osobiście nie jestem zwolennikiem jakiekolwiek programu antywirusowego, ponieważ uważam, że najlepszym antywirusem jest nasz rozum. Jeżeli nie mam pewności, co do źródła binarki to wtedy najlepszym rozwiązaniem jest tzw. multiscan przy pomocy np.
VirusTotal. Nie zawsze raporty są wiarygodnym źródłem informacji, dlatego też najlepiej, jeżeli się zna na temacie to warto sprawdzić, co faktycznie jest w aplikacji, jakie funkcje z bibliotek systemowych są ładowane i co określony fragment kodu wywołuje. Niejednokrotnie spotkałem się z aplikacjami, które nie były w żadnej bazie sygnatur wirusów. Dopiero po czasie się tam pojawiały. Moim zdaniem najlepiej używać OllyDbg lub IDA, aby dowiedzieć się, co faktycznie siedzi w środku.
Jakiś czas temu pewna osoba próbowała mi wmówić, że HideToolz ukrywa tak proces, że jest nie do wykrycia. Tak to jest jak osoba nie mająca pojęcia o programowaniu i jądrze systemu stara się wyjaśnić coś programiście. Oczywiście kategorycznie musiałem zaprzeczyć takiej głupocie i wyjaśnić oprawcy, że jest w błędzie. Całość opisałem w artykule
[PHP] Pobranie listy procesów i ubicie wybranych celów.
Podczas wykonywania testów coś zwróciło moją uwagę. Ze względu na to, że parę dni wcześniej zainfekowałem sobie komputer bodajże robakiem o nazwie Parite to chciałem uniknąć ponownego zarażenia, dlatego też zainstalowałem sobie Avast'a dla pewności, aby sprawdzić, które aplikacje nie zostały zainfekowane. Bardzo zdziwił mnie fakt, gdy uruchomiłem HideToolz, ukryłem proces i dopiero po jakimś czasie Avast poinformował mnie, że coś jest nie tak. Dokładnie to chodziło o nieznany sterownik załadowany przez wyżej wymieniony program. Skoro Avast reaguje dopiero po kilku minutach na taką rzecz to dla mnie jest to żadne zabezpieczenie. W ciągu paru chwil mogę nagrzebać wystarczająco, aby nie pozbierać systemu do kupy. Jakie to zabezpieczenie? Żadne!
Komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników serwisu. Serwis nie ponosi odpowiedzialności za treść opinii. W trosce o zachowanie poziomu dyskusji wszystkie komentarze podlegają akceptacji przed ich publikacją dlatego proszę cierpliwie czekać aż komentarz zostanie opublikowany.
Dodaj komentarz
Zezwolono używać:
BBCode
Zabroniono używać:
znaczników HTML
CapaciousCore
Niezależnie czy wywoływane są jakieś procedury ze sterownika czy nie to minimalny czas reakcji Avasta to około 30 sekund. Akcje pod odpowiednie "hooki" działy się natychmiast, więc mógł od razu zareagować.