Кипер должен быть выполнен как 64 битный драйверБраузер - последняя опера 10.10. дырявая! выяснено с помощью avast! Там есть настройка выдавать сообщение когда любая програма пишет dll exe sys com (если вы не програмист вам не надо писать-модифицировать exe dll sys com!) Так вот при серфинге Лисой никогда такое сообщение не выдается, при серфинге оперой время от времени идет попытка записи на диск exe dll sys (avast это можно блокировать) :dont: Использовать 64 битную XP или 7 или Vista - там драйвера должны иметь цифровую подпись, ЦФ не взломана до сих пор, ну и троян обломается с систем32 и систем64 - ничего оттуда не запуститься, да и UAC предупредит если что. Рекомендация для 32 битной ХР работать под юзером, а не админом не прокатит, троян лезет в Локал-Юзер и оттуда запускается, и потому ему пофиг имеет права юзер-админ или просто юзер. Рекомендация программистам Вебманей - хватит заниматься самодеятельностью! Кипер должен быть выполнен как 64 битный драйвер, тогда ему придется ОБЯЗАТЕЛЬНО иметь цифровую подпись на себя и на все свои длл, тогда подмена или модификация будет очень очень очень сильно затруднена. Судя по хакерским форумам цифровая подпись 64 битных драйверов не сломана и хакеры склоняются к тому, что это невозможно, алгоритм реально криптостойкий. Если троян попытается модифицировать код 64 битного кипера-драйвера до его запуска - портиться ЦФ и кипер не запуститься, а запущеный кипер в 64 битной памяти как драйвер можно модифицировать (в памяти) только другим 64 битным драйвером, который опять же должен иметь 64 битную подпись чтобы быть запущенным, а таких подписей у хакеров нет и подпись не ломаема на сегодня. Ну и руткит на сегодня для 64 битной винды невозможен по тем же причинам, он должен быть подписан ЦФ, а ее у хакеров нет и она не ломается. Также вроде бы сертификат в лисе храниться внутри лисовский файлов, а не в виндовском хранилище и может быть запаролен мастер паролем и сделан не-экспортируемым, что скорее всего сделает невозможным его кражу на данном этапе развития трояна. Также слышал мнение за верность которого не ручаюсь, но говорят в виндах есть так называемые политики безопасности и там можно настроить запрет на запуск неподписанных цифровой подписью исполняемых файлов даже админом. Тут надо нужна консультация опытного системного админа по виндам крупного предприятия! Есть такие? --- Пока вижу такую картину по форуму - уязвима 32 битная ХР плюс IE или Опера с Каспером NOD32 DrWeb. --- Кто-нить пострадал с Вистой/7 с включенным UAC (юзер аккаунт контроль) плюс Avast с включеннм контролем записи-модификации exe dll sys ? |