Цитата: 2. по поводу "живучести"... вырубать таск менеджером антивирь - не факт, что это нормальный метод проверки на живучесть - может Я ХОЧУ выгружать отдельные модули антивиря таск менеджером или через "процес-лист" ФАРа? (с КАВ я так и поступал в свое время) т.е. это не критерий как по мне...
nu mi ze nebudem zapusakt virusi da esho takie navoro4enie tipa tanatosa poetomu tanatos zamenit task manager!
a to 4t oesli user mozet farm ubit AV tak
luboy virus toze smozet... poetomu punk nado ostavit.. i testit pri pomoshi
www.protect-me.com - Remote task manager
Цитата: "живучесть" я бы охарактеризовал как способность АВ вырубать вирь, до того как вирь вырубит АВ (а-ля ТАНАТОС с выгрузкой кучей антивирей и т.п.)
nemnogo netak
naprimer monitor ot kaspersky nemozet udalat virusi kotorie ispolzuyutsa systemoy.... a scaner mozet....
glavnaja zada4a monitora Predupredit / obezvredit virus... a le4enie / udalenie uze zapushenog ovirusa delaetsa scanerom!
Добавлено Benchmark Цитата: просто найти соответствующей процесс и прибить его
vot eto i est zivu4est... toest realniy sans obezvredit av.... ne vse antivirusi pozvolat vigruzti seba
opat ze sravnivayu drweb i kav
vopros po4emu u drweba netu optsii disable v xp/2k/nt?
otvet t.k v NT systemah netu dos rezima i poetomu driver drweba nemozet sprosit razresenija
v 95/98/me takaja vozmoznost est t.k est dos rezim i poetomu spdier sprasivaet
na forume drweba pisal 4elovek pod nickom "Макс" o probleme spidera....
pisu suda text perepiski... pravda eto bolse na doklad smahivaet
===========================================================
В SpIDer Guard и DrWeb v4.30a брешь...
Заранее прошу прощения у всех, кто возможно
пострадал от написания этой статьи. Но другого
способа связаться с авторами программы я не вижу.
Так как они сначала надавали мне кучу советов и
уверяли, что я чего-то там не правильно настраиваю,
а потом и вообще выкинули с форума. Черт, а я же
в течении 7 лет пользовался только DrWeb. Ну вот не
хотят они слушать про баги, ну нет в програме их ...
--------------------------------------------------------------------------------
1)Для динамически загруженой программы(программа загружается при старте Windows).
Пока что я не знаю алгоритма для выключения активного виртуального драйвера программы (на сколько я понимаю его необходимо вытеснить из памяти послав процессу сообщение о прекращении его-в виндах есть такая фишка). Поэтому для обхода программы мне приходится (действовать грубой силой) :
- сначала вырубить GUI надстройку монитора;
- выбросить из реестра автоматический запуск(*.ехе файла);
- записать в реестр автоматический запуск своей копии;
А вот теперь надо что то делать с виртуальным драйвером, иначе вся работа насмарку. Пытаюсь удалить файл виртуального драйвера.
Вылетает окно(но не паука, а системы) Неустранимая ошибка 0E по адресу 0028:C151CD60 в VXD Spider (01)+00029BD0. Приложение будет снято ( и это при включенной опции - 'Защита системного ядра'). Следом за ним слетает моя программа (но она успевает записать себя в автозапуск). Появляется окно- Неустранимая ошибка 0D по адресу 0246:17747FB. Приложение будет снято.
А вот потом вылетает еще одно окно (возможно это вылетает библиотека виртуальной машины VB6.0, а может и нет -я не программист не знаю). Неустранимая ошибка 0D по адресу 0370:0177268B. Приложение будет снято. Из всего этого делаю вывод что все-таки нельзя удалять файл виртуального драйвера если он находится в памяти.
Внимание !!! Не пытайтесь получить real time приоритет выполнения (вы можете его получить, но если захотите в этом режиме выключить сканер или монитор - обе программы (ваша и сканер/монитор) вылетят из системы (а могут даже и подвесить ее). Это связано с тем, что продукты И.Данилова тоже пытаются получить высокий приоритет (и из-за этого происходит конфликт в системе). Только не знаю какой именно REALTIME_PRIORITY или же HIGH_PRIORITY. Скорее всего HIGH_PRIORITY, т.к. в REALTIME_PRIORITY очень опасно работать - он забирает все ресурсы системы (но кто знает может он работает в реал тайм).
В результате моих последних иследований -используется Normal priority.
Хотя в настройках есть движок для выбора приоритета проверки (чего-то там с делениями, хотя в 98 по-моему всего 4 приоритета , может в других виндах их больше..?)
Поэтому (в режиме NORMAL_PRIORITY) . . .
- открываю файл виртуального драйвера в Binary режиме и в начало файла вписываю строчку (Почему в начало? А для того чтобы из исполняемого файла сделать чего-то непригодное для запуска). Внимание !!! При этом используются опции :
[SpIDerGuard98]
HeuristicAnalysis = Yes
TestMemory = Yes
TestStartup = Yes
GuardMode = RunAndOpen, CreateAndWrite ' Вот вам и проверка на запись в файл (а ведь я редактирую Spider.vxd)
VirusActivityControl = Yes
Или же можно использовать 'Оптимальный режим'
[SpIDerGuard98]
HeuristicAnalysis = Yes
GuardMode = Smart
VirusActivityControl = Yes
ScanBootOnShutDown = Yes
- а вот теперь, для того чтобы выкинуть виртуальный драйвер из памяти - нужно перезагрузить систему.
Таким образом перезапуская Windows - система сначала закрываете все активные програмы и драйверы, а потом при загрузке (специальный загрузчик системы) запускает все драйверы. А так как я испортил виртуальный драйвер (ну не драйвер,а файл драйвера) , система сообщает о том что файл испорчен и просит его переустановить. Вы как всегда нажимаете пробел, идет загрузка и моя программа получает снова управление (т.к. она перед этим записала запуск своей копии в реестр). Таким вот простым образом можно получить управление в системе (и это при установленой опции 'Контроль вирусной активности' и 'Эвристический анализ' ,см. установленые опции выше - красными буквами). И вот теперь нет антивирусного монитора (проверили снова память) начинайте смело размножаться...
--------------------------------------------------------------------------------
2) Для статически загруженой программы (это если программа запускается не вместе с Windows, а если вы потом ее вручную запускаете).
А вот в этом случае все гораздо проще. Вы можете спокойно выкинуть антивирусный монитор из памяти, при этом вам не помешает даже виртуальный драйвер - по моему, в этом режиме он практически не контролирует память, или даже вобще не запускается
Просто с помощью API функции посылаете окну монитора сообщение WM_CLOSE и все монитор вылетает только успев пикнуть звуковой картой ( прямо какие-то страшилки на ночь: летающие мониторы с пикающими, как у гаишников мигалками).
Ну и как и я уже говорил портите файл виртуального драйвера (а может стоит просто отредактировать *.ini файл паука и/или подчистить реестр....Не знаю не пробывал. Буду говорить только о том, что проверял). И можно перезапустить систему, но это не обязательно, т.к. в памяти уже ничего не находится. Теперь ничто не воспрепятствует размножению. . .
Таким вот образом ПРОГРАММА запущеная В СТАТИЧЕСКОМ РЕЖИМЕ-практически НЕ ЗАЩИЩАЕТ ПОЛЬЗОВАТЕЛЯ, А ЯВЛЯЕТСЯ скорей всего МУЛЯЖОМ ЗАЩИТЫ.
--------------------------------------------------------------------------------
А вот на счет антивирусного сканера - ситуация вообще смешная. Почему-то в режиме простоя сканер разрешает себя выкинуть, при этом не выдавая никакого предупредительного окна.
Его тяжело вырубить когда он активно проверяет память (вот как только вы его запустили, при условии что приоритет проверки стоит выше среднего), вернее сказать я пробывал, но почему-то не всегда он вылетал.
А вот режиме проверки файлов он достаточно надежно детектирует наличие своей копии в памяти и все таки выдает окно с сообщением о закрытии (хотя я вот что думаю ,а если и этому окну послать сообщение -только не о закрытии , а сообщение о нажатии клавиши Enter- ведь это тоже приведет к закрытию, причем на этот раз обоих окон, а именно всей программы в целом). Его можно спокойно вырубить (в режиме ожидания) с помощью API функции
Public Function EnumWindowProc(ByVal hWnd As Long, ByVal lParam As Long) As Long
послав окну сообщение WM_CLOSE.
Вот примерный алгоритм поиска окна сканера DrWeb
--------------------------Пример----------------------------
Dim drweb As Integer
drweb = InStr(1, sClass, "Afx:400000:", vbBinaryCompare)
'Afx:400000: --это часть класса окна, так как оно время от времени меняется (меняется только несколько последних символов), но эта часть остается неизменной.
If drweb <> 0 Then
'нашел сканер-выключаю его нафих
Call SendMessage(sHwnd, WM_CLOSE, 0&, ByVal 0&)
End If
----------------------------------------------------------------
Странная ситуация происходит, если я тоже самое хочу проделать с монитором или сканером Е.Касперского. Всегда вылетает окно с вопросом о закрытии окна, а значит все таки программа отслеживает процессы в памяти и желание другой программы получить неограниченую власть в памяти.
И это не лобирование продуктов Касперского - я просто констатирую факт !
А также вылетаеют сканеры :
- AVG (версия 6.0.367 ,а монитор только в статическом режиме. Кстати очень интересная разработка и к тому же бесплатная.);
- MacAfee (извините не было новой версии, пробывал на устаревшей);
- Norton Antivirus (Symantec фирма П.Нортона , пробывал только на старых версиях);
- Panda Antivirus (вылетает только GUI надстройка, а какие-то процессы остаются в памяти, какие не знаю);
Как видите нет придела для совершенства, но все же если Касперскому удалось защитить свои продукты, так почему же И.Данилов медлит ?!
Все таки хотелось чтобы разработчики исправили эти ошибки (ну это конечно громко сказано, правильней сказать-неточности), так как не хочется на старость лет разрывать все связи и переходить с бухты барахты на продукты других фирм. Все таки привычка . . .
Для проверки всего что я Вам тут рассказал воспользуйтесь вот этой программой
Внимание !!! В программе используется простейший алгоритм поиска окна SpIDer Guard . А именно ищется класс окна "#32770" - но как таковым этот класс не является меткой паука. Многие служебные программы и утилиты используют этот класс (например msconfig.exe, да и комплекс программ Е.Касперского его тоже использует). Поэтому для того чтобы отследить паука-необходимо использовать программы для слежения за памятью или же написать самому программу для получения процессов, происходящих в памяти. Я не ставил своей целью поиск имеенно паука (да и этот вполне не сложный алгоритм меня вполне истраивает).
--------------------------------------------------------------------------------
Все что здесь было написано является непосредственно моими мыслями и предположениями, которые возможно не будут совпадать с мнением разработчиков программы. Возможно в чем-то я и неправ, просто попробуйте программу и попытайтесь разобраться в коде (если Вам он необходим, напишите и я Вам его вышлю). Найдите ошибки,попробуйте что-нибудь изменить. Ведь сегодня это просто статья, а завтра это может быть вирус. От которого у Вас к сожалению нет 'надежной' защиты . А потом востанавливать с бумаги (дай Бог чтоб хоть на бумаге была копия) - свои годовые отчеты (хм . . . и опять же возникла мысль про 1С Бухгалтерию).
--------------------------------------------------------------------------------
Если у Вас возникло совершенно неестественное в наше время желание вознаградить мой скромный труд, а проще говоря прислать мне N-нную сумму, я буду очень признателен. Со мной можно связаться
e-mail: mrbelyash@rambler.ru
г 2003 Sokulsky Maxim
===========================================================
esli nado vilozu i progu...
Добавлено Цитата: Так как они сначала надавали мне кучу советов и
уверяли, что я чего-то там не правильно настраиваю,
а потом и вообще выкинули с форума.
ps taza samaja situatsiaj i u mena
netu bugov v drweb a tebe read only na forume
sravnivat daze ne4ego.... 
