Друзья! Есть ли способ на плюсах, например, определить, что антирвирус касперского (конкретнее KIS) отключен? Отключен это значит отключен штатным способом, то есть через панель управления отключаешь его на несколько минут или до перезагрузки. Спасибо, кто откликнется.
Можно определить из юм факт ядерной фильтрации - тоесть что на сервисы установлен фильтр. Узнать что фильтр выключен - в принципе возможно. Но думаю лучше именно через интерфейсы кисы эту инфу получить, так как методы - сложные.
Indy_, чё-нибудь пороще нужно. "Юм факт ядерной фильтрации"... Гм. Ну, в общем,попроще что-нибудь хотелось бы.
попроще: если каспер прописывается в SecurityCenter2, то можно спросить у WMI, там вроде было поле о том, включен ли антивирусный продукт или выключен...
amvoz, К примеру снять тайминг на разных сервисных аргументах. Я бы в эту сторону смотрел(av-фильтр примитивен, он не скрывает свою активность). Эта идея может быть просто развита и реализована. Или принять что ядерный фильтр конкретного ав есть некоторый обьект, который выполняет выборки в память, есть куча способов обнаружить эту активность. В самом примитивном случае сбросить рабочий набор и вызвать фильтр. В wsw логе будут адреса км фильтра ав.
Можно чекать дату последнего обновления баз. Они лежат в файле и можно прочитать время модификации Из забавного: Как-то на соседнем борде недавно предложили универсальную определялку. Дропать eicar файл через cmd.exe /c <eicar> > 1 и последующим удалением, если DeleteFile возвращает ERROR_ACCESS_DENIED, то антивирус в системе работает успешно Костыльно, но забавно.
