lundi 25 janvier 2010

Avast 5 : Détection du Sandbox

Bonzour, ce n'est pas dans mes habitudes ce genre d'interventions. Mais je pense tout de même que c'est mon autre coté diabolique qui prend le dessus actuellement à travers cette entrée Blog, bref.. Diable je peux devenir parfois :)

La firme Tchécoslovaque Alwil a présenté dernièrement une toute nouvelle version de leur antivirus Avast. Le passage de la version 4.8 vers la version 5.0 leur a demandé presque une année de travail intensif, bien-sur que ce n'est pas toujours facile, même pour une équipe de 30 ou 40 développeurs aussi chevronnés que les leurs. Après avoir installé, leur nouvel antivirus et fait le tour sommairement, les 1ère impressions ont été positives dans leur globalités, même si elles manquent de précision :





  • L'habillage et le nouveau moteur visuel GUI est très beau et très bien soigné. Ils ont battu tout le monde sur ce niveau. Kaspersky Labs utilise depuis des années cette même méthode d'habillage HTML, mais l'idée d'aller utiliser très intelligemment le composant HTML Layout s'avère plus payante et moins complexe à maintenir.
  • Le Kernel Antivirus est maintenant "presque" multi-moteurs : ils y sont presque enfin :)
  • Toujours adeptes de la compression ZLib pour les bases de données ?
  • Support Heuristiques ? Donc support While List ? ah bon c'est le pourquoi du SQLite 3 :)
  • Le Support WEB Sandboxing est une excellente nouvelle idée. Bravo pour l'idée, même si le Hooking à la méthode Sandboxie ne permet pas la portabilité de ce module sur Unix et dérivés.
  • Le support Win32 est vraiment tout nouveau pour la boite Alwil, ont ils fait de nouveaux recrutements pour cette tâche ? Bon, à 1ère vue, le moteur Win32 Sandbox est vraiment très immature :)
Maintenant laissons place à l'œil du Diable hehe..

char IsAvast_5_SandBox(void)

{
char szFileName[MAX_PATH];

GetModuleFileName(NULL,szFileName,MAX_PATH);

if (!strcmp(szFileName,"C:\\emu\tmp.tmp")) return 1;

if (!strcmp(szFileName,"C:\\emu\fajl.exe")) return 1;

return 0;

}

Et si on pouvait atteindre le Kernel d'analyse Avast depuis un code viral ? c'est une bonne idée n'est ce pas ? Mais ne soyez pas trop gourmands Diaboliquement parlant hehe...

Ceci dit, un énorme Bravo tout de même à la firme Alwil avec un grand B; sans oublier comme toujours et sans la moindre hésitation : je les emmerde quand même haha..., bien-sur avec un grand E !!!

Publié par Ben Hedibi Hassène à 14:36

Libellés : ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)