img - Xakep Online

Кристалл запустился. Полет нормальный!Тайная деинсталляция закончилась обломомПотенциально опасная программа. Действительно,есть у нее такой недостаток.инструментов Windows. Кстати, все испытания проводятсяв Windows XP Professional SP3.За прохождение каждого теста будет выставлятьсяоценка по пятибальной системе — совсем как в школе.Единицы, конечно, мы никому ставить не будем, но изавышать баллы за способность к выживанию — не внаших правилах. В конце мы подсчитаем среднеарифметическоевсех оценок и посмотрим, кто оказалсясамым стойким.Теперь немного о самих тестах. Так как мы тут проводимне абы что, а краш-тестирование, то и испытания у насбудут соответствующие. Основная их цель — вывестииз строя антивирусное ПО как можно незаметнее дляпользователя. Если в результате выполнения того илииного теста защитные функции наших кандидатов«на уничтожение» перестали работать, то антивирьполучает жирную двойку. В противном случае мы будемсмотреть, как ПО справилось с проблемой. Если передсмертью ему удалось выдать какое-нибудь сообщение— начисляем трояк. Как уже было сказано выше,краш-тестов будет всего пять. Первый тест будет тупопытаться удалить самые важные бинарные файлы дистрибутиваантивируса. Но не просто удалить, а удалитьпри загрузке ОС с помощью специальной API-функции.Второй будет делать то же самое, но при этом еще ихитро шифровать имя удаляемого файла, чтобы антивирьне догадался, что его хотят стереть с практическисобственного жесткого диска. Третий тест, опять же,удаляет жизненно важные файлы, но при этом скрываетэто, маскируя вызов смертоносной API-функции подсовершенно безобидный код.Четвертое и пятое испытание стоят особняком, посколькубудут выполняться с помощью стандартныхсредств ОС Windows — никаких специальных утилитмы писать не будем. Разумеется, при желании всеэто можно реализовать и программно. Итак, один изтестов будет запрещать запуск антивируса посредствомполитик безопасности, а второй попробует деинсталлироватьПО без лишнего шума и пыли.Итак, когда мы немного разобрались с тем, что будемделать, приступим непосредственно к краш-тестам.ТЕСТ №1Первый тест будет производиться с помощью специальнонаписанной утилиты. В командной строке мы передадимей полное имя файла, который хотим удалить приследующей загрузке ОС. Программа вызовет системнуюфункцию MoveFileEx, которая может перемещатьфайлы и папки. Первый ее параметр — это полное имяперемещаемого файла, второй — куда будем перемещать,а третий — флаг, который задает некоторые опцииперемещения. Если второй параметр оставить пустым,то есть передать NULL вместо строки с новым местомхранения, а в качестве флага установить значениеMOVEFILE_DELAY_UNTIL_REBOOT, то нужный нам файлбудет удален во время загрузки ОС.Все просто. Всего одна функция, и никакого хитроумногокода. Такую утилитку может написать даже учениксредней школы. Теперь проверим, как она подействуетна наши антивирусы. Первым по списку идет KasperskyCRYSTAL. Если посмотреть в менеджер процессов,то мы увидим, что Каспер два раза запустил avp.exe.Одна копия запущена с системными привилегиями, аWARNINGwarningНе используйнелицензионныеверсии антивирусовв своем сервисе и нехостись в России.INFOinfoRESPECTГруппе И-3-1(ПрикладнаяМатематика) МГТУ«Станкин».DieHard, YaesU, metalAsechka.Ru communityXÀÊÅÐ 08 /139/ 10 079