Исходное сообщение
"Анализ Mumblehard, вредоносного ПО для Linux и FreeBSD" Отправлено Аноним, 04-Май-15 21:19
>>Ну, скажем, если какая-то софтина массово читает файло, а затем для каждого вызывает вполне известные алгоритмы шифрования - то модуль эвристики как-бы мог и сообразить, что что-то не так пошло? > Для этого нужно, чтобы эмулятор кода АВ хотя-бы распаковал бинарь и проанализировал > - чем тот же ClamAV в принципе не занимается, а 95% > из остальных можно тупо обломать по глубине эмуляции либо таймауту, вставив > какой-нибудь ресурсоёмкий цикл ещё до входа в основную процедуру А причем-тут бинарь вируса? Винда, вроде, позволяет антивирям перехватывать системные вызовы. Посмотреть кто вызывает open('some.docx','w'). >>Блин, просто-же! > Читай выше, что я написал