ivaemon, вот ответ с небезызвестного нам с вами форума:
[QUOTE=ntoskrnl;]Здравствуйте. Изложу свои соображения. Никого не хочу обидеть, но, друзья, вы занимаетесь самой настоящей ерундистикой. Проверять самозащиту продуктов средствами, убивающими их с помощью драйвера, занятие абсолютно бесполезное и показывающее не столько дизайн и возможности защитного ПО, сколько дизайн и возможности драйвера, в данном случае PH и/или KS. Могу посоветовать использовать для этих целей IceSword, думаю, результаты всех сильно удивят.
Сама проверка самозащиты АВ с помощью драйвера не имеет смысла, поскольку загрузка в нулевое кольцо недоверенного кода автоматически означает полный взлом системы и самая “высокая” точка, где имеет смысл проверять самозащиту - это граница третьего кольца, т.е. непосредственный вызов операционной системы через инструкцию syscall на Win64 или через sysenter ли прерывание 2Eh - на Win32. “Ниже” мы имеем все шансы “спалиться” на хуках в ntdll.dll, “выше” недоверенный код проникать не должен в принципе.
[/quote]
а так же:
[QUOTE=alexo2003;]Я, наконец, для себя вопрос с прохождением или нет тестов в PH прояснил блягодаря ответам wj32 :old: в английской части комодовского форума.
Если кратко, то получается так: от загрузившегося на уровень ядра драйвера спасения нет ни у кого и быть не может. У всех, у кого тест проходит, в окошке терминатора видны строчки “Not available” – это значит, что драйвер PH не был загружен, и теста не было.
Защитное ПО должно выдавать предупреждение о попытках загрузки драйвера. Если пользователь разрешил – всё, драйвер обязательно всех выгрузит. PH специально создавался так, чтобы обходить Comodo (он у него даже в доверенных, вроде), поэтому KProcessHacker может с Comodo делать всё. Но в мирных тестовых целях.
Ещё момент. То, что у некоторых продуктов самовосстанавливается защита – ничего не значит, выгрузка состоялась. Это PH такой добрый, а малварь может контролировать и блокировать повторную загрузку.
Вот тут https://forums.comodo.com/news-announcements-feedback-cis/mayday-mayday-this-is-not-a-joke-cis-processes-shutdown-t43832.165.html
есть ответы wj32.
Короче говоря, делать выводы о наличии/отсутствии защиты в каком либо ПО на основе PH – изначально неправильная затея. От загрузившегося драйвера не спрятаться. Можно только делать вывод о том, удалось ли загрузить KernelMode driver или нет.
[/quote]