Лидеры форума

Успели сегодня http://www.internet-security.ru/2009/07/21...virus-windows7/ [RELEASE] Agnitum Outpost Security Suite Pro 6.7 (2954.446.710.358.206) [RELEASE] Agnitum Outpost Firewall Pro 6.7 (2954.446.710.358.206) [RELEASE] Agnitum Outpost Antivirus Pro 6.7 (2954.446.710.358.206) Дата релиза: 21 июля 2009 г. Полный список изменений находится здесь: http://www.agnitum.ru/products/security-suite/history.php http://www.agnitum.ru/products/outpost/history.php http://www.agnitum.ru/products/antivirus/history.php

C:\XP\system32>sc queryex spiderntSERVICE_NAME: spidernt TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 PID : 1160 FLAGS :C:\XP\system32>sc pause spiderntSERVICE_NAME: spidernt TYPE : 10 WIN32_OWN_PROCESS STATE : 7 PAUSED (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0C:\XP\system32>c:\test.comEICAR-STANDARD-ANTIVIRUS-TEST-FILE!C:\XP\system32>

Ну так у Вас же MD уже стоит, стартует как сервис, драйвер загружает. Чего же Вы ожидали? Не совсем так. Самозащита прежде всего используется для препятствия нарушению работы антивируса вредоносными программами из режима пользователя. Если вредоносный код попал в режим ядра, то, как уже говорили выше, самозащита уже не может быть надежной. Более того, в некоторых антивирусах/фаерволах разрешено системным процессам влиять на процессе защитного продукта и проч. От того и получается, что эффективность самозащиты резко повышается, когда есть мониторинг загрузки драйверов, всяких способов проникновения в ring0, изменения памяти процессов, секций и проч и проч + еще повышается, если используется ограниченная учетная запись и система постоянно обновляется (использование эксплоита для записи в ring0 или повышения привилегий в системе никто не отменял). Именно по этому, касаясь именно самозащиты, в тесте на ам использовались методы только из режима пользователя (+ 2 банальных из ядра). Но и, само собой, в том тесте не использовались все-все возможные методы, а только самые простейшие и доступные. Как там докторовцы говорят - это не баг, это фича =) Кстати, можно поздравить докторовцев - теперь у них есть зачаток (зародыш) хипс, благодаря автору этой тулзы ): http://www.anti-malware.ru/forum/index.php...amp;#entry72939 С целью блокировки попытки снятия своих перехватов, используемым там методом, они по-хукали в SDT ZwSystemDebugControl :-).

а ничего что драйвер у веба в ринг 0 сидит? читайте тему, при ядерном драйвере любая самозащита курит в ресторан-вагоне Москва-Владивосток.. =))

Ага:

Поздравляю еще раз. Желаю успехов. Извините, что отнял ваше время.

Вот когда пойдет, тогда и буду сранивать KIS 2010, а пока 2009 В Европе может продаваться что угодно. Пока релиза на русском языке нет. А сравнивать англоязычный родительский контроль мне не интересно, я живу здесь, а не та

Надеюсь меня не забанят = ) http://ipicture.ru/Gallery/Viewfull/19190970.html

dr_dizel

А чего, интересная мысль - использовать защитный софт для нейтрализации защитного софта. Можно даже специально затачивать проги друг против друга. По крайней мере, вирусописатели будут не против))))