Bahsettiğim olay enfekte olmadan tespit değil, enfekte olduktan sonra tarayıp silme başarısızlığı gösteren gerçek zamanlı korumaya sahip antivirüsleridir. Bulaştıktan sonra silmede başarısızlık gösteren yazılımların başına ESET, Bitdefender ve Kaspersky'ı ekleyebilirim. Tabi bu sektöründe lider olan antivirüs yazılımlarının kötü olduğu anlamına gelmez. Sonuçta rootkitlerin türevleri imza veritabanlarında. Sadece sonradan enfekteyi silmek için yüklendiğinde başarısız.
Bildiğiniz gibi rootkit sistem işletim belleğine yerleşip işletim sistem haklarının çoğunu ele geçirir ve silmesi hayli güçtür. Bu sebeple antivirüs yazılımları kendi bünyesinde sahip olduğu gerçek zamanlı antivirüs yazılımlarının silemediği rootkit zararlıları için ek araç çıkarmak zorunda kalır.
Kanıt için size rootkit zararlısı içeren bir .exe dosyası ulaştırabilirim. Test sisteminiz varsa dosya sisteme enfekte olduktan sonra gerçek zamanlı korumaya sahip antivirüs yazılımlarının çoğunun silmekte başarısız kalacağını kanıtlamış olurum.
Kanıt için size rootkit zararlısı içeren bir .exe dosyası ulaştırabilirim. Test sisteminiz varsa dosya sisteme enfekte olduktan sonra gerçek zamanlı korumaya sahip antivirüs yazılımlarının çoğunun silmekte başarısız kalacağını kanıtlamış olurum.
Bahsettiğim olay enfekte olmadan tespit değil, enfekte olduktan sonra tarayıp silme başarısızlığı gösteren gerçek zamanlı korumaya sahip antivirüsleridir.
Öyle dediğin zaman saçmalığa girer olay. Aktif korumaya sahip bir sistemde enfekte olmadan demek abes olur veritabanında tanımlıysa. Bahsettiğin AV'lerin de veritabanında yoksa zaten bulaşır ve bahsedilen alternatif araçları bir iş yapmaz.
Tespiti yapabiliyorsa VT'ye upload edip sonucu paylaşırsınız görürüz sanal sisteme gerek yok bu yüzden.