Antiviren-Software lässt sich austricksen. Deshalb erkennt sie solche Tricks und versucht, sie zu verhindern. Es ergibt sich eine Hase-und-Igel-Spiel, bei dem die Angreifer oft die Nase vorn haben.
Deshalb emulieren dann wieder die Verteidiger die Skripte, um den entschwurbelten Code zu sehen zu bekommen. Deshalb bauen die Angreifer also Verteidigungsmechanismen ein, die Aktivität des Benutzers erkennen, um an deren Fehlen die Emulation zu erkennen und diese dann in die Irre zu führen. Deshalb simulieren Verteidiger Maus-Aktivitäten. Deshalb ...
Breno Cunha beschreibt in seinem Blog-Beitrag Evading anti-virus's script emulator, wie er den Skript-Schutz von Kaspersky austricksen konnte und gibt dabei einen tiefen Einblick in dieses Hase-und-Igel-Spiel.
(ju)