Обход антивирусов и фаерволлов.

Тем, кто слепо надеется на защиту своих антивирусов и фаерволов, плюхну большую ложку дёгтя, в их бочку мёда.

Уже разработана методика обхода 95% антивирусов и фаерволов, которая  позволяет вредоносной программе/(вирусу/трояну/бэкдору) работать в системе без каких либо ограничений!

Как происходит определение вируса/трояна/бэкдора в системе у пользователя(жертвы)?
Есть несколько ступеней: Эвристика, Виртуализация, Проактивная защита, Фаерволл.
1) Как только дана команда на запуск, программа на самом деле не запустилась, она подсунулась под нос сканеру антивируса..который ищет вредоносный код в программе сравнивая участки программы с теми что находятся у него в базах.
2) После прохождения первого теста, программа запускается в виртуальной среде антивируса и антивирус смотрит, что делает софтина (не пытается ли сделать что нибудь подозрительное в системе).
3) После прохождения 2го теста, программа запускается в системе у пользователя и антивирус в этот момент следит за всеми ее действиями, предупреждая пользователя об опасных..и блокируя их..
4) Фаерволл. Когда Ваша софтина лезет в интернет, фаерволл блокирует сеть для данной программы и спрашивает пользователя об этом.

Метод обхода найден! Это цифровая подпись вредоносного ПО.

Основан на работе сертификата ! То бишь, программа имеющая цифровую подпись (сертификат) имеет право делать ВСЕ запрещенные антивирусами операции.
Программы имеющие цифровые подписи сразу добавляются в "белый список" антивирусов и фаерволов. Что позволит обходить Все выше перечисленные Блокировки/Степени защиты..
Будь то вирус или обычное приложение фирмы, которое она хочет подписать для большей безопасности!

Подписываются действующими сертификатами известных компаний, к примеру:

JMicron, Realtek, ATI, Nvidia, Symantec, Microsoft итд.

Антивирус ни в коем случае не должен видеть в файле вирус, иначе на этом этапе ему уже крышка. Потому он тщатетьно маскируется.


Далее эвристик присвоил файлу высокий рейтинг опасности, например 80 или 100.
Потом антивирус смотрит на цифровую подпись, и если она в порядке - он успокоится и не будет выдавать никаких запросов пользователю.

Кто хорошо в этом деле разбирается, начнут яро спорить, что это невозможно, сертификацию нельзя взломать! Нельзя взломать, зато можно использовать ворованые ключи для подписи сертификата!

Уже разработана технология, которая позволяет подписать ЛЮБУЮ программу ЛЮБОЙ цифровой подписью! Считается, что даже теоретически взлом алгоритма сертификации программ и расшифровка ключей невозможна! Как оказалось на практике, невозможного не существует!

Единственный минус данного способа заключается в следующем: Нужно добавить определенный ключ в реестр перед запуском основной программы (с подписью). Ключ реестра всем выдается уникальный.
Ключ в реестр добавляет в абсолютно не критическую ветку реестра (антивирусы и прочие защиты не ругаются), все проходит гладко..

Возьмём к примеру ту же злополучную Мозиллу, на которой большинство палятся. Вместо настоящего браузера, тысячам юзеров подсовывают обыкновенного ТРОЯНА, который работает как вышеупомянутый браузер и кроме того, очень хорошо выполняет и другие функции, заданные злоумышленником.

Крипторы никто не отменял.
Подписанная программа получает намного больше прав от антивируса, и пользователю не выдаётся лишних запросов.
Если программа будет нормально закриптована, нормально подписана например подписью FireFox (Mozilla Corporation) и будет находиться в папке мозиллы, то подозрений она не вызовет, даже при ручном изучении этого файла каким-нибудь продвинутым юзером. И ограничения у неё будут такие же, как у настоящего мозиллы, то есть выход в интернет будет открыт по умолчанию у большинства юзеров.

Это относится не только к Мозилле, но и к другим браузерам и программам.

Вот так вот и как то так...