драйвер, длл или просто ехе ??

Может кто то прямо ответить на вопрос или нет ?
Представьте блин что ехе и драйвер оба написаны ИДЕАЛЬНО..
Кто проживет дольше на тачке бота ( если глядеть со стороны АВ ? А не со стороны работоспособности..)
И от чего это все зависит, и если разницы нет..То скажите плиз.

 

darkcode
для драйвера в вакуме и пользователя который позволил ( и у него самого были права ) загрузить драйвер, дольше прожевет идеальный драйвер. Хотя столько же он проживет, ведь ехе тоже идеальное = )

 

драйвер естественно продержится намного дольше

зависит от того есть ли у АВ доступ к телу вашего драйвера на диске,
если такой доступ имеется то жить драйвер будет точно так же как и exe, если нет то дольше

 

Вопрос, на основе ехе реально сделать так что бы доступа на диске к нему не было ?
Или это только для драйверов, так как драйвер это власть в ОС.

 

нет

 

Драйвер не загрузить с ограниченными правами. Так что не парься и делай ехе.

 

что если права есть?

 

fsd
Я так понимаю, чел собирается его в дальнейшем прогружать, стало быть на каких то машинах прав не будет. Если софт не работает без прав, то это будет снижать отстук. Локальные эксплоиты повышения прав ситуацию не изменят - это все временно.

 

Ну, если драйвер не обязательный (как в случае с руткитом), то не будет. Загрузился - хорошо, не загрузился - ну и ладно =)

Подытожим:
+ Нашу малварь потенциально сложнее выковырять из системы
+ Открываются новые горизонты =)
- Сложнее с криптом
- Должен быть нормально написан. Что-бы, как минимум, не бсодило и, по возможности, было совместимо со следующими версиями ос
- Нужны права админа, обход ЮАКа и патчгварда (или как та хрень называлась, которая не давала драйвера левые грузить?)

 

а на каких то будет, почему бы там тогда не установиться поглубже и как следствие надольше?

 

fsd
лучше побольше (машин) чем подольше

 

K10
я и про одно, и про другое: если можно попользоваться машиной подольше то почему бы и нет (sys), если нет прав - ну и ладно (exe)

 

Спасибо всем кто ответил.
Кто что думает, о схеме буткит + руткит ?

 

fsd
Ну если ехе сможет работать без sys, то да...

 

darkcode
буткит стоит от 5к самый дешевый. руткит тоже не дешего )

 

Не нужно мне о ценах говорит..
суть такая имею нормального коня с руткитом и так же аналогичного по функционалу коня ( ехе )
Там где руткит, поднятие прав происходит через сплойты, и достигается работа под всеми правами в ОС..
В ехе тоже работа идет через сплойты, и тоже работает под всеми учетками.
Для начала мне надо было понять, что же будет лучше, оставит просто драйвер, или ехе ?
Ехе проще криптовать, и ехе не извлекает не каких драйверов и библиотек.
Что очень даже удобно..
Далее когда вопрос встал сделать ехе круче, - внедрить в него буткит, как оказалось что если вшивать буткит, то желательно что бы был и руткит, ибо так лучше, проще, и легче..
Это грубо говоря
http://www.esetnod32.ru/.company/blog/?id=7992&year=2010

1 чел мне предлагал вообще мысль, мол, если файл инсталится в ОС, нужно при инстале добавить к нему метров 200 мусора, и тогда люди его не закачают в АВ сервисы, но я так понял это уже давно определяется что то типа file Bomb

 

в данном случае exe не нужен