greg zakharov пишет: А если не секрет, то откуда у Вас такие сведения? Любопытно исключительно с целью расширения кругозора.
Давно уже в паблике есть решения по выявлению виртуализации операционной системы. Вот такие "детекторы" как раз умные малвари прячут во всяких функциях типа sleep(). Пишутся они в основном на ассемблере.
И как только программа узнает, что она запустилась в виртуалке, то сразу же удаляется.
А вообще, ради прикола, отправьте на virustotal программу, которая вам будет отстукиваться в адрес. Гарантирую, что логи в течение месяца будете получать, со всех стран мира. Более 100 машин.
greg zakharov пишет:
JSman пишет:Восстановление раздела и mbr недостаточно?
Теоретически достаточно, на практике может случиться все что угодно
Верно. Например, перепрошивка BIOS. Но и она успешно исправляется.
greg zakharov пишет:
JSman пишет:Смысл в проверке не только по сигнатурам, но и эвристике.
Видимо у на с Вами различное понимание эвристики.
Может быть. Вот реальный пример. Представьте, что используется уязвимость файла doc CVE-0158-2012. Сигнатура вредоносного кода, сигнатура шелла, не попала в базы данных антивирусов. То есть антивирусные программы дадут пользователю запустить файл. Но какое же поведение этого файла? При запуске именно такого вордовского файла идет распаковка бинарника (exe), а также файла в формате doc для его отображения пользователю, чтобы не было подозрений. Указанное поведение в чистом виде ловится Касперским. Это и есть эвристика. Примеров полно. А если принять факт, что многие антивирусы фактически не проверяют файл более 6 Мб, то страшно становится.
greg zakharov, я Вам был бы очень признателен, если бы получил консультацию по моим вопросам.