Прикольное название я дал этой статье :).
Данная статься рассказывает о защите, но не
той которая от троянов и вирусов и т.д., а
более лучшей, о защите троянов и вирусов от
AVP Monitor:). Вы наверное знаете, что AVP сейчас
является лидером среди антивирусов, но не
смотря, что AVP лидер, в AVP допущен позорный
БАГ. Не надо быть хорошим программистом, для
того, что бы AVP вышибить. И так начнём о баге
и его использовании. Как-то я сидел в Visual C++ и
решил запустить его утилиту Spy++, запустил и
начал смотреть
имена окон, что бы спрятать кнопку "Пуск",
смотрю я смотре и вдруг наткнулся на окно AVP.
Не много подумав, я решил извратиться,
послать окну AVP сообщение WM_DESTROY. AVP к
сожалению ни как не отреагировал и тут я
решил до конца попытаться прибить AVP и
начал посылать по циклу сообщение WM_DESTROY. Я
думал, что AVP мне сейчас выдаст сообщение
"вы уверенны, что хотите закрыть AVP...и т.д.",
но представьте такого не произошло и тут я
подумал - это БАГ.
Но к сожалению меня не устроило то, что надо
это желать по циклу и я попробовал послать
AVP сообщение WM_CLOSE, как только я его послал у
меня сразу же закрылся AVP. В этом я увидел
лоханутость этой программы. Применение
этому багу я нашёл примерно на следующий
день. Подумал я: а что если создать
программу которая носила-бы в себе троян
или любую другую программу и охранялась от
AVP. Написал я такую программу на Visual C++,
алгоритм её был следующий: 1) Вышибаем AVP,
2) Вытаскиваем из неё файл в директорию Windows
и запускаем. Программа же которая лежала в
носителе была написанна в конец EXE файла
носителя и зашифрована по XOR. Таким образом
AVP убивался, а программа (троян) запускалась
без помех. У Dr. Web же такого бага нету! Но к
сожалению как бы я носитель не сжимал, он
был 27kb, и из-за этого троян становился на 27kb
и уже в применение не был эффективен из-за
большого размера. Я по быстрому перекинул
эту программу на Assembler, после чего она стала
занимать 4k и трой был и скрыт от AVP + не
большой размер.
Эта программа не
распростроняется!!!
Данная статья показывает автору AVP, о его
БАГЕ!
Автор не несёт ответственности за
использование этой информации в
противозаконных мерах. Вес этот
эксперимент производился над AVP Monitor for Windows
v3.0 build 131(Русская версия).