Интересует ваше мнение по поводу влияние patchguard на фичи ав. Думается, что возможностей хуков стало меньше, а значит, проактивная защита стала менее гибкой? Известны ли случаи когда с переходом на х64 ав потеряли в функционале или все таки все удалось сделать с помощью документированных методов? Да и вообще, грубо говоря с vista\7 остаётся ли место под солнцем для проактивных защит или это загибающееся направление?
На текущий момент, PG обходится достаточно легко и надёжно. Все AV-компании, которые хотели его обойти, - обошли. В частности, в ЛК частично это реализовали. Также существуют продукты, которые писались с изначальным расчётом на тотальный обход PG, например, OSSS. Основной метод - внедрение в загрузчик операционной системы и установка перехватов до запуска PG. В общем, моё мнение, что проактивная защита, поведенческий анализ, песочница и т.д. и т.п. есть направление весьма перспективное, в ближайшие лет 50 никуда не денется, разве что методы будут совершенствоваться.
x64 спасибо за ответ Так ЛК реализовали или нет? Инетерсно что делают другие крупные ав-вендоры, OSSS таким не считаю.
x64 >Основной метод - внедрение в загрузчик операционной системы и установка перехватов до запуска PG И при этом PG полностью рабочий? Этот метод не имеет ничего общего с тем методом патча, при котором ОС думает что она в режиме отладки (использовался, вроде бы, в TDL)? steelfactor >это патч PTE не слыхал о таком, линки есть?
EricDraven Сама техника не новая, но, не то чтобы ненадежная, а как-то не совсем нестабильная, что-ли, в тырнетах можно инфу найти на эту тему. UPD:Хотя, к слову, видел как-то приватную либу, которая обеспечивала стабильную работу системы при перезаписи PTE на многопроцессорных системах, видимо всеж от опытности кодера зависит У Cr4sh'a в блоге есть кодес эту тему