Czy to ma prawo działać?
- Thread starter 5.56
- Rozpoczęty
To jest najprostsza, najgłupsza i najbardziej naiwna metoda walki z AVami. Caly ten kod nic tylko przeszukuje (i to w dodatku strasznie nie wydajnie) cala liste procesow i stara sie za pomoca NAJSZERZEJ dostepnej, najbardziej znanej, najpodatniejszej na przechwycenie/oszukanie/zhookowanie funkcji TerminateProcess wylacz proces.
Wszelkie moduly zajmujace sie bezpieczenstwem korzystaja z roznych sztuczek zabezpieczania swojego procesu, od nieinwazyjnych jak zmiana wlasciwosci obiektu jadra - PROCESS, przez hookowanie procedur "wylaczajacych" procesy, az do zaawansowanej, niskopoziomowej - poziom jadra, obserwacji i kontrolowaniu obiektow jadra, KernelObjectMonitoring. Akurat ostatniej techniki nie uzywa sie tylko w celu zabezpieczenia siebie, najczesciej szerzej sie jej uzywa, a zabezpieczenie siebie jest kolejna pieczenia na jednym ogniu.
Innymi slowy - ten kod zalosna imitacja walki z modułami antywirusowymi.
Wszelkie moduly zajmujace sie bezpieczenstwem korzystaja z roznych sztuczek zabezpieczania swojego procesu, od nieinwazyjnych jak zmiana wlasciwosci obiektu jadra - PROCESS, przez hookowanie procedur "wylaczajacych" procesy, az do zaawansowanej, niskopoziomowej - poziom jadra, obserwacji i kontrolowaniu obiektow jadra, KernelObjectMonitoring. Akurat ostatniej techniki nie uzywa sie tylko w celu zabezpieczenia siebie, najczesciej szerzej sie jej uzywa, a zabezpieczenie siebie jest kolejna pieczenia na jednym ogniu.
Innymi slowy - ten kod zalosna imitacja walki z modułami antywirusowymi.