Я недавно начал изучать рукиты и буткиты как часть моего университетского курса. Я написал очень простой руткит, который позволяет обнаруживать файловую систему NTFS.
Беда в том, что после компиляции мой антивирус (Защитник Windows) сразу же помечает флаги и удаляет отлаженный файл отладки. Я знаю, что могу добавить всю папку для исключения в WD, но мне интересно, есть ли способ предотвратить сканирование папки / файлов руткитов всеми (или наиболее продвинутыми) антивирусными программами без приходится иметь дело с отдельными случаями.
Я сталкивался с несколькими методами. Одним из них является использование блокировки папки или аналогичных программ для блокировки папки на ходу. В некоторых случаях это работает, но более сильные антивирусы, такие как Kaspersky, все еще могут обнаруживать файлы. Затем я написал программу для преобразования exe-файла в файловую систему NTFS, изменив номер ссылки MFT на 12, пока код уже загружен в VS Studio. Это предотвращает обнаружение файла всеми антивирусами, но в то же время отключает загрузку файла в VS Studio (дала мне повреждение данных), поэтому я считаю, что этот метод слишком хардкорный.
Я также прошел через изменение разрешений, но не уверен, насколько это целесообразно.
Итак, вкратце, есть ли другие идеи (только для образовательных целей) о том, чтобы предотвратить сканирование антивирусом файлов / папок при возможности их использования в ОС?
Извиняюсь, если вопрос не ясен, я нахожу эти слова немного запутанными.