Ни для кого не секрет, что в некоторых легальных продуктах используются руткит-технологии.
В антивирусных продуктах различные проактивные механизмы защиты применяют перехваты системных функций в том или ином виде. Вредоносный код также использует подобные алгоритмы, однако, антивирусное ПО, в отличие от вредоносного кода, не пытается скрыть модификации, произведенные в системе.
Насколько вообще оправдано использование руткит-технологий в легальном программном обеспечении? Насколько при использовании таких технологий в легальных продуктах велик риск компрометации операционной системы и пользовательских данных? Насколько тонка грань между легальными и киберкриминальными методами?
Читайте также:
Loading ...
Вяленький вброс: когда я в последний раз смотрел KIS/KAV — он тоже вёл себя как типичный руткит (блокировал доступ к части своих файлов даже на чтение), про 100500 перехватов я и вовсе молчу.
Ну, самозащите и положено так работать, подмены содержимого и сокрытия файлов же не было, так? :)
И что? Многие руткиты, использующиеся в malware, тоже не используют сокрытие и подмену содержимого, а только блокируют доступ к защищаемым объектам.
Есть и такие руткиты, согласен. По-большому счету тут скорее философский спор или спор о понятиях. АВ используют руткит-технологии и я этого не скрываю, да все итак это знают. Блокировка доступа — это не самое страшное, тот же детектор аномалий выявил невероятное количество «залоченных» объектов в различном легальном ПО (сразу же попался sptd.sys, но это всем известный факт).
Насчёт «положено так работать» — тоже сомнительный аргумент: в чём смысл блокировать файлы, относящиеся к антивирусному продукту, при попытке их _чтения_ (открытия с GENERIC_READ)?
Вяленькая защита от реверса/анализа, например?