![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
> с xу# ли, например, софт лезет хешить код ntdll, a?
Таки да! Ручной парсинг импорта/экспорта, ковыряние в PEB/TEB, чтение содержимого библиотек, не инициализированных регистров после вызова API функций, вызов неподерживаемых функций, длиные циклы и прочий подобный промискуитет - это веский повод пометить файло как подозрительное. Этого недостаточно для четкого детекта при on-demand скане, но вполне хватит, чтобы при запуске всю инфу о файле слить в облоко и сандбоксы. А оно, если всё сростется, в случае не еденичного отстука за 5 минут забанит к ху#м и сам файл, и источник его получения.
Таки да! Ручной парсинг импорта/экспорта, ковыряние в PEB/TEB, чтение содержимого библиотек, не инициализированных регистров после вызова API функций, вызов неподерживаемых функций, длиные циклы и прочий подобный промискуитет - это веский повод пометить файло как подозрительное. Этого недостаточно для четкого детекта при on-demand скане, но вполне хватит, чтобы при запуске всю инфу о файле слить в облоко и сандбоксы. А оно, если всё сростется, в случае не еденичного отстука за 5 минут забанит к ху#м и сам файл, и источник его получения.
