Дело не в штрафах. После нескольких подряд одних и тех же нарушений на коротком периоде времени отбирать у человека права и отправлять на медкомиссию на предмет его адекватности.
Как вариант, можно реализовать в виде плагина, в нем установить свой VEH обработчик и при возникновении исключения делать дамп.
Или еще круче вариант — вызывать функцию, которая сохраняет данные в UDD файле, понятном самой OllyDbg. Не знаю как в первой версии, а во второй функция сохранения в udd принимает указатель на t_module, который можно получить вызовом Findmainmodule и флаг указывающий показывать окно выбора куда сохранять или нет.
И правда жизненно. В 2012 году купил SAMSUNG NP300V5A-S17 15.6", Core i5 2450M, 2.5ГГц, 4Гб, 500Гб, nVidia GeForce GT 520MX 1Гб, в дальнейшем: Core i5 2450M заменил на Core i7 2640M 2.8ГГц, память 4 => 16гб (есть еще запас, т.к. там два слота), hdd => ssd.
Матрица экрана так себе, но зато нормальная клавиатура с цифровым блоком.
Вы проделали большой труд! Благодарю! На сколько понимаю, Вы использовали механизм операционной системы, производящий поиск файлов в особом порядке для подмены загрузки «системной» библиотеки. Т.е. данной угрозе подвержены почти все исполняемые файлы (в зависимости от того какие зависимости от системных библиотек у них есть). И при этом от этого достаточно сложно защититься. Вы, случайно, не проводили тесты на остальных известных антивирусных продуктах?
Черной полупрозрачной матовой пленкой заклеить все индикаторы и тогда неактивные сегменты видно не будет, а красные на просвет вполне себе и читабельность увеличится.
Что тогда скажете про mimikatz?
Любые данные доступны через API, не так ли? Я с таким же успехом могу при помощи ReadProcessMemory считать память программы обслуживающей POS-терминал и взять оттуда номер карты. Через API же.
Как уже писал выше, уязвимость в том, что программа с доверенной подписью и возвращает собранные данные любому желающему. Данные можно было безопасно передавать в хост-процесс антивируса, а не кидать их чистым текстом в вывод.
Сделайте напрямую, вопросов нет. Чуть выше привел сравнительную ссылку на отчет VT по программе с аналогичным функционалом. Чем они хуже, что их метит половина вендоров?
Про платные речи в статье нет. И про Avira Free Security тоже.
Лично я вижу на сайте два отдельных продукта Avira Free Security (https://www.avira.com/en/free-security) и Avira Free Antivirus (https://www.avira.com/en/free-antivirus).
Хорошо, где в описании к описываемому продукту есть упоминание модуля «Avira Password Manager»? Или где о нем есть упоминание в интерфейсе? www.avira.com/ru/free-antivirus
Проблема не в том, что данная программа собирает учетные данные. Проблема в том, что эта программа подписана доверенным сертификатом (из-за этого другие антивирусные продукты будут пропускать ее) и программа не проверяет кому она отдает собранные данные.
Эта программа ведь ничего особенного не делает. Да, любая программа может её вызвать. Но так ведь и любая программа может сделать то же самое.
В данном случае нет. Но не редкость, когда подписанные приложения известных производителей распространяются вместе с вредоносным ПО. Примеров много: TeamViewer, PuntoSwitcher, некоторые компоненты McAfee. Или те же утилиты от NirSoft, но их почти все производители детектируют как PUA.
Остается вопрос зачем его включать в поставку без самого менеджера паролей и нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?
Как отучить hexrays портить прототипы функций, делая их __usercall и добавлением в аргументы регистры esi, edi, ebp? Далеко не на всех файлах такое поведение.
Или еще круче вариант — вызывать функцию, которая сохраняет данные в UDD файле, понятном самой OllyDbg. Не знаю как в первой версии, а во второй функция сохранения в udd принимает указатель на t_module, который можно получить вызовом Findmainmodule и флаг указывающий показывать окно выбора куда сохранять или нет.
Матрица экрана так себе, но зато нормальная клавиатура с цифровым блоком.
Любые данные доступны через API, не так ли? Я с таким же успехом могу при помощи ReadProcessMemory считать память программы обслуживающей POS-терминал и взять оттуда номер карты. Через API же.
Сделайте напрямую, вопросов нет. Чуть выше привел сравнительную ссылку на отчет VT по программе с аналогичным функционалом. Чем они хуже, что их метит половина вендоров?
Лично я вижу на сайте два отдельных продукта Avira Free Security (https://www.avira.com/en/free-security) и Avira Free Antivirus (https://www.avira.com/en/free-antivirus).
www.avira.com/ru/free-antivirus
Давайте тогда сравним две программы:
1) WebBrowserPassView от NirSoft
www.virustotal.com/gui/file/c974d6d712fa92803f17ee749633ee76c6a80e2173e32bf6f9b645e402d20050/detection
2) Утилита из статьи
www.virustotal.com/gui/file/564cec65551eefb7371a8be059895c74b80553e4294d4fb661e340d575285417/detection
Остается вопрос зачем его включать в поставку без самого менеджера паролей и нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?