Старый тест антивируса

17 Окт
2011

Введение


Учась в школе, я регулярно радовал преподавателя по информатики гадкими программами, написанными на Delphi. Одна из таких программ умела отключать антивирус, даже запороленный.
Прошло много лет, но прототип той программы остался работоспособным и сейчас.

Описание


Работая с WinAPI в Delphi, я видел много чудес, балуясь с Handle`ами всего, что попадало под курсор. Узнав что антивирусы контролируют процессы, загоняя их в режим Debug, при этом становясь их родителем, возник вопрос бытия: «Что случится если с антивирусом сделать тоже самое?». Казалось бы если я запускаю такую программу, антивирус загребает её под себя, но ведь программа делает тоже самое, кто же останется отцом?

Отчет


При тесте программы на популярных антивирусах наблюдалось три исхода:
  • Антивирус Касперского — ноль реакции, программа никак не повлияла на его работу.
  • Avast! — повешал систему полностью.
  • Dr Web, NOD32 и Panda — благополучно закрылись.

И ни один антивирус не назвал эту программу вредоносной.

Заключение


Вышеизложенный метод должен учитываться разработчиками антивирусов.
Пользователям советую пересмотреть взгляды на выбор антивируса. Не то, чтобы я намекаю на Касперского, но всеми любимый NOD32 вообще не знает о вреде клавиатурных шпионов.
Безобидный прототип вы можете протестировать у себя, для этого:
1) Откройте блокнот
2) Создайте ярлык для kill_process.exe и укажите в качестве параметра notepad.exe
image
3) Если при запуске окно блокнота закроется — повторите процедуру, указав в качестве имени процесса ваш антивирус (kis.exe, nod32.exe и т.п.)
Работает только на платформе Windows XP (возможно и ниже).

Бонус


Внимание, выполнение следующих действий может привести к зависанию вашей ОС.
До сих пор непонятно, почему антивирусы допускают выполнение ещё и этой шалости:
Создаём файл 123.bat со следующим содержимым
:1
start 123.bat
goto 1
Это ведь и в автозагрузку добавить можно…
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх