Zbarsk
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AVGast Если бы встретились сразу C:\Windows\System32\WindowsPowerShell\v1.0\\WindowsPowerShell\v1.0\powershell.exe и C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727\csc.exe, то у меня было бы как у Вас - мгновенно. У меня закрыты Temp и Roaming и в Windows очень многим файлам строгие правила прописаны, я их изредка открываю, но потом опять на замок, и в System 32, там тоже туча правил на сегодняшний день и я решил, что пусть будет медленнее, но вернее. Возможно, поэтому. Ну запускать сразу я не решился, 10 минут подождал, когда в памяти появился процесс из распакованного и запущенного файла, то стало ясно, что вредоносный код файл запускает только тогда, когда у него есть доступ к powershell.exe и сsc.exe. Он должен иметь доступ к этим файлам, чтобы тот вредоносный код, который распознал ESET, должен быть проверен. ESET делает ставку на 0.00000 % фалсопозитиво. Я выбираю это. Пока доступа нет - он просто висит на рабочем столе. Когда я его запускаю, он ничего не может сделать, поскольку нет доступа. Поэтому при запуске вытащилось всё заблокированное. Когда я его запустил, он полез туда, куда запрещено. Это некий поведенческий анализ, которого, как здесь выяснилось, у ESET нет. В Секьюрити вам никто поведенческий анализ не поставит, поэтому и разница между бизнес-версиями и домашними в цене. У бизнес-версий повыше - там ещё больше кодалингов и сигнатур, которые работают вместе. К каждому файлу прицеплён вагон и маленькая тележка кодалингов, вредоносов с оборванными или старыми кодами, которые имитируют новейшие вредоносы. Я сюда ни письками меряться захожу, а захожу учиться - время не стоит, сейчас уже под Android начали писать. | Всего записей: 184 | Зарегистр. 13-10-2018 | Отправлено: 17:43 28-03-2019 | Исправлено: Zbarsk, 18:59 28-03-2019 |
|