ROMIK Опубликовано 16 мая, 2009 Поделиться Опубликовано 16 мая, 2009 Скажите пожалуйста что такое полиморфный AVZ и чем он отличается от простого ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Орион Опубликовано 16 мая, 2009 Поделиться Опубликовано 16 мая, 2009 Скажите пожалуйста что такое полиморфный AVZ и чем он отличается от простого ? Тоже интересно Ссылка на комментарий Поделиться на другие сайты Поделиться
sergio342 Опубликовано 16 мая, 2009 Поделиться Опубликовано 16 мая, 2009 Эта версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
ROMIK Опубликовано 18 мая, 2009 Автор Поделиться Опубликовано 18 мая, 2009 sergio342 Спасибо. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти