Теория лоханутости AVP - 10 Сентября 2010 - WIKI сайт про всё, что можно подумать
E-mail:
Пароль:

Wiki сайт: Всё про всё

Меню сайта
Главная » 2010 » Сентябрь » 10 » Теория лоханутости AVP
12:05 PM
Теория лоханутости AVP

                                 

Прикольное название я дал этой статье :). Данная статья рассказывает о защите, но не той которая от троянов и вирусов и т.д., а более лучшей, о защите троянов и вирусов от AVP Monitor:). Вы наверное знаете, что AVP сейчас является лидером среди антивирусов, но не смотря, что AVP лидер, в AVP допущен позорный БАГ. Не надо быть хорошим программистом, для того, что бы AVP вышибить. И так начнём о баге и его использовании. Как-то я сидел в Visual C++ и решил запустить его утилиту Spy++, запустил и начал смотреть имена окон, что бы спрятать кнопку "Пуск", смотрю я смотрю и вдруг наткнулся на окно AVP. Не много подумав, я решил извратиться, послать окну AVP  сообщение WM_DESTROY. AVP к сожалению ни как не отреагировал и тут я решил до конца попытаться прибить AVP и начал посылать по циклу сообщение WM_DESTROY. Я думал, что AVP мне сейчас выдаст сообщение "вы уверенны, что хотите закрыть AVP...и т.д.", но представьте такого не произошло и тут я подумал - это БАГ.
Но к сожалению меня не устроило то, что надо это желать по циклу и я попробовал послать AVP сообщение WM_CLOSE, как только я его послал у меня сразу же закрылся AVP. В этом я увидел лоханутость этой программы. Применение этому багу я нашёл примерно на следующий день. Подумал я: а что если создать программу которая носила-бы в себе троян или любую другую программу и охранялась от AVP. Написал я такую программу на Visual C++, алгоритм её  был следующий: 1) Вышибаем AVP, 2) Вытаскиваем из неё файл в директорию Windows и запускаем. Программа же которая лежала в носителе  была написанна в конец EXE файла носителя и зашифрована по XOR. Таким образом AVP убивался, а программа (троян) запускалась без помех. У Dr. Web же такого бага нету! Но к сожалению как бы я носитель не сжимал, он был 27kb, и из-за этого троян становился на 27kb больше и уже в применение не был эффективен из-за большого размера. Я по быстрому перекинул эту программу на Assembler, после чего она стала занимать 4k и трой был скрыт от AVP + небольшой размер.

 

Весь этот эксперимент производился над AVP Monitor for Windows v3.0 build 131 (Русская версия).

 

Категория: Советы Безопасности при Использовании компьютера | Просмотров: 9 | Добавил: torayevtm | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email:
Код *: