(06.02.2018, 10:35)morphiusz napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Cytat:A co do reszty to jest przecież coś takiego jak skaner behawioralny? Powinien chyba wyłapywać pliki, które mają podejrzany kod...
Bloker behawioralny to wciąż składnik ochrony Deafult Allow - musi posiadać sygnatury wzorów złego zachowania ( tak jak skaner antywirusowy ma sygnatury złośliwego kodu). Blokery behawioralne wymiękały, przynajmniej na początku, jeśli chodzi o fileless malware - producenci musieli je zaktualizować. I tak co jakiś czas jest - zupełnie nowe malware, które stosuje nowy, dotąd nieznany sposób infekowania.
Niektórzy naprawdę nie nauczyli się przez tyle lat, że ów fileless nie istniałby bez procesów cmd.exe lub powershell.exe. Są producenci, którzy skanują uruchamiane skrypty lub pozwalają je całkowicie blokować, jeśli plik jest o słabej reputacji, etc. I tak jak pisałem - czasami wymaga to zajrzenia do ustawień programu. Na przykład polski Arcabit domyślnie blokuje skrypty w wierszu poleceń i jest dobrze.