Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ничто не мешает, но это бессмысленно. 06.08.08 19:09 Число просмотров: 2518
Автор: Den <Denis> Статус: The Elderman
|
Потому как АВ в таком случае уже научаться присекать атаку по используемой уязвимости, т.к. антивирусные базы, в сравнении с ОС, обновляются пользователями намного чаще даже на пиратских копиях АВ.
> Или что мешает сразу доставлять АВ обновления МС, а не > маскировать уязвимость?
У каждого АВ свой формат БД сигнатур, а MS ForeFront использует ядра сторонних производителей.
> добавил: а ведь фильтры для отлова уязвимости содержат не > меньше инфы для аналитиков. там или есть последовательности > или порты, например.
В общем случае да, но все же меньше, чем использующий уязвимость рабочий эксплойт.
> А в обновлениях есть только скомпилированные модули, > которые надо еще препарировать :)
Препарировать не проблема. Весь сыр-бор из-за того, что имея программные модули из патча, сравнительным анализом проще определить в каком месте и что пропатчено. Но если АВ научаться отлавливать атаки раньше, чем обновления безопасности ОС попадут в руки black hat'ов, то сравнительный анализ патча для последних будет бессмысленным.
|
|
|