Исходное сообщение
"Выпуск свободного антивирусного пакета ClamAV 0.99.3 с устра..." Отправлено Аноним84701, 26-Янв-18 17:16
> Ну ты опять не поверишь, но есть инструменты типа wireshark и processexplorer. И что, если там у бинаря будет показываться классическая схема "родительский-дочерний процесс"? Подозрительно или сойдет? Кстати, удачи вычислять processexploreroм грамотно внедренную доп. DLL, сливающую инфу через webdav или днс. > При небольшом приложении головы можно вычислить зловреда. При небольшом приложении не только головы, но и толики опыта -- зловред без дебажинга вычисляется обычно только скрипткидизкий. Да и проверки на виртуалку, песочницу, wireshark и т.д. доступны копипастой всем желающим и не используются совсем уж ленивыми. > а злобные хацкеры, пищущие забитые вирусами активаторы им платят, чтобы всякие сниферы и мониторы не видели их поделий Открою страшную тайну: "бизнесу" с обфускаторами  (в кидо-сленге "сrypter"ы)  бинарников от антивирей уже лет надцать. Массово это дело пошло в 2005-2006, после портирования PoCа  товарища Тан Чев Кеонг: http://web.archive.org/web/20080117115736/security.org.sg/co... с сишки на VB. ЧСХ, довольно характерная cвязка вызовов WinAPI так и не ловись никогда толком антивирями в рантайме. И уже десять лет назад куча анти-опций даже в ширпотребе, типа айстилера, была само-собой разумеющейся: What is new in this version? • Added new programs like Google Chrome, Opera, the last version of Firefox (3.5),IDM, SmartFtp and CuteFtp. • The server has been improved for stability, totally tested in XP, Vista and W7. • New features in the Php Log Manager (Export and Copy), now is more easy to set up. Recovery: • Firefox (All versions, included 3.5) New! • Internet Explorer (All versions, included 8) New! • Google Chorme (All versions) New! ... • CuteFtp (Pro, Home, Lite) New! Features: • Builder GUI coded in VB6 • Stub coded in C/ASM • Stub size uncompressed: 330Kb • Stub size compressed with UPX: 180Kb • OS: NT/XP/Vista/W7 New! • FUD (Runtime and Scantime) • Don't use external programs Important! • All strings encrypted • Bypass UAC in Vista/W7 New! • Test URL function in the builder New! • Php log manager (With new features) New! • File binder upto 50 Mb New! • File cloner and Icon Extractor • Icon changer (Icons pack included) • Anti virtual machines • Anti OllyDbg • Anti WireShark • Anti Procmon • Melt (Self destruction) • All encrypted • Good design Так что злобные хацкеро-киддизы платят $5 за криптор, умеющий скрывать  бинарь от антивиря с актуальной базой и классических связок "ВМ-песочница-сниффер" или же используют бесплатные, с "хорошо зарекомендовавших себя" форумов (т.е. слоев  малвари на бинарнике будет уже два )). И да, удостовериться в приемлимой "чистоте" бинарника  намного сложнее, чем  просто выявить малварь.