АВаТар

Современные буткит-технологии и детальный анализ Win32/Gapz

В этой теме 53 сообщений

Статья под таким названием "Современные буткит-технологии и детальный анализ Win32/Gapz" появилась недавно на "Хабре". Хотел бы обсудить некоторые вопросы по этой теме со знающими людьми. На "Хабре" я это сделать не могу, т.к. нахожусь в режиме "read only".

Что конкретно я бы хотел обсудить - так это создание универсальной anti-bootkit технологии. Я такую систему делал ещё 20 лет тому назад для DOSа. И она работала!

Теперь время и ОСи - другие совсем, но принцип, по идее, должен сработать и сейчас...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для Windows 8 такая система создана MS. UEFI Secure Boot.

А по поводу статьи Eset - смешно. Описали относительно не новый буткит, а сами не лечат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если кого-то интересует идея создание "непотопляемого" анти-буткит продукта, то я могу здесь (или в другом месте) поделиться соображениями о том, как это красиво делается. Причём UEFI никакой роли не играет. Работать будет на любом BIOSе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

АВаТар, мне было бы интересно вас послушать как человеку интересующимуся хехнологиями :)

Но на всякий случай напишу что об этом думают ав-компании: перехваты на открытие диска при котором возможна запись в первые байты стоят у всех уважающих себя антивирусов, выдать алерт или тупо заблочить вообще не проблема. Не заблочили лишь потому что тогда не будет работать много легального софта, а на алерт юзер все равно нажмет "да".

Потому решается на данный момент это костылем вида: создается вайтлист на приложения из которого алерта не будет, а на левую прогу будет устрашающего вида алерт с надеждой на то, что юзер нажмет "нет" тем самым запретив такую деятельность...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

...прошу прощения за опечатку в слове "технологиями". честное слово не специально.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

priv8v, идея очень проста. Для этого давайте посмотрим на буткит-заразу с другой точки зрения.

Как легко заметить, зловред внедрился не абы куда, а именно в уязвимые участки процесса загрузки ОС. И это совершенно логично.

Далее идёт важное замечание: зловред не препятствует загрузке ОС.

По той простой причине, что ему ещё с ней - жить и жить (работать и работать)... Либо, если зловред не загружает ОС, то, значит, он не вирус-троян, а просто уничтожитель чужого имущества.

Теперь снова посмотрим на зловреда. Помимо функции "прилипания" к процессу загрузки, у него остаются не обязательные, в принципе, функции "маскировки" и самого "вреда".

Что предлагается сделать - вырезать из зловреда все вредные и не нужные функции. А на место "прилепления" поставить только одну полезную функцию - "сбрасывание чужака с хвоста". Всё это похоже на иммунизацию системы. На систему ставятся "заплатки" именно в те места, куда внедряется обычный зловред. А сами "заплатки" реализуют только одну функцию - "сбрасывание чужака с хвоста". Конкретно это означает, что они не позволяют "приклеиться" в это место кому бы то ни было ещё. А это всего лишь дело техники...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v, идея очень проста. Для этого давайте посмотрим на буткит-заразу с другой точки зрения.

Как легко заметить, зловред внедрился не абы куда, а именно в уязвимые участки процесса загрузки ОС. И это совершенно логично.

Далее идёт важное замечание: зловред не препятствует загрузке ОС.

По той простой причине, что ему ещё с ней - жить и жить (работать и работать)... Либо, если зловред не загружает ОС, то, значит, он не вирус-троян, а просто уничтожитель чужого имущества.

Теперь снова посмотрим на зловреда. Помимо функции "прилипания" к процессу загрузки, у него остаются не обязательные, в принципе, функции "маскировки" и самого "вреда".

Что предлагается сделать - вырезать из зловреда все вредные и не нужные функции. А на место "прилепления" поставить только одну полезную функцию - "сбрасывание чужака с хвоста". Всё это похоже на иммунизацию системы. На систему ставятся "заплатки" именно в те места, куда внедряется обычный зловред. А сами "заплатки" реализуют только одну функцию - "сбрасывание чужака с хвоста". Конкретно это означает, что они не позволяют "приклеиться" в это место кому бы то ни было ещё. А это всего лишь дело техники...

Поздравляю, ты переоткрыл идею начала 90-х по иммунизации HDD от бут и МБР вирусов :-) С точностью до обоснования идеи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

_Stout, Да, я открыл эту идею 20 лет назад, воплотил в DOSе. Об этом я написал в 1-м сообщении.

Моё предложение - реализовать эту защиту для современных реалий. Там ничего технически сложного нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что предлагается сделать - вырезать из зловреда все вредные и не нужные функции. А на место "прилепления" поставить только одну полезную функцию - "сбрасывание чужака с хвоста". Всё это похоже на иммунизацию системы. На систему ставятся "заплатки" именно в те места, куда внедряется обычный зловред. А сами "заплатки" реализуют только одну функцию - "сбрасывание чужака с хвоста". Конкретно это означает, что они не позволяют "приклеиться" в это место кому бы то ни было ещё. А это всего лишь дело техники...

полезная функция, говоря нормальным языком - это самозащита, без нее вашу прививку будут перезаписывать.

Что получится в итоге - руткит-прививка будет конфликтовать в ядре с антивирусом, нет никаких гарантий, что ее не перезапишут, так как в ядре все равны. Соответственно, ваша идея скорее вредная, чем полезная.

Будут только лишние конфликты и синьки. Проще запретить вносить изменения в МБР/ВБР силами антивируса, что вроде как реализовано у Докторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хорошо, самозащита - это слово лучше.

Далее, процитирую:

"руткит-прививка будет конфликтовать в ядре с антивирусом, нет никаких гарантий, что ее не перезапишут, так как в ядре все равны. Соответственно, ваша идея скорее вредная, чем полезная.

Будут только лишние конфликты и синьки. Проще запретить вносить изменения в МБР/ВБР силами антивируса, что вроде как реализовано у Докторов."

Давайте разберём эту идею на составляющие, и соберём по-новому. Cнова взглянем на Рис. 12 из исходной статьи. Напомню, там указан порядок загрузки ОС:

MBR -> VBR/IPL -> Bootmgr Winload.exe -> OS Kernel -> ELAM -> Kernel-mode drivers -> ...

Рассмотрим MBR. Цитата из статьи: "Код буткита перехватывает обработчик прерывания 0x13, int 13h".

(!) Самозащита сбрасывает адрес прерывания на BIOS (может, даже, делает это безусловно). Пользуясь настоящим адресом IRQ, самозащита считывает MBR с диска и сравнивает прочитанное с "самим собой" (т.е. выполняемым кодом) - то, что должно быть в MBR. Если обнаруживается разница, MBR перезаписывается, компьютер перезагружается.

Теперь цепочка VBR/IPL -> ... -> Вплоть до загрузки защищённого режима. Все компоненты загрузки ядра ОС (ntldr, bootmgr, winload.exe, ntoskrnl.exe, и т.д. и т.п.) в своих Точках Входа выполняют практически те же самые действия самозащиты, что и в MBR, но с учётом локального места действия.

Если Руткит-прививка будет являться частью ОС, то она не будет конфликтовать ни с чем, иначе ОС не загрузится. Зловред пытается запустить (ха, громко сказано!) ОС, он даёт ей загружаться и работать. Тем самым, он даёт работать самозащите, внедрённой во все Точки Входа. Таким образом, самозащита является частью ОС. Ну, или должна быть такой в идеале... Никаких конфликтов ни с чем...

Осталось только согласовать всё это с M$, а там - все такие мелкие и мягкие... Но можно и без них разрулить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я промолчу про акронисы, аверов и шифрование и т.д., но загрузилась ОС, а дальше хитрый дров обходит вашего резидента и затирает его в МБР и т.д.

Еще нет ни одного буткита, которого нельзя обойти и вылечить.

Лучше придумайте, как бороться с руткитами, которые заражают бут-драйверы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin, вы меня не поняли. Нет никакого резидента! - "обходить" некого. Перечитайте внимательно мои сообщения от начала, особенно предыдущее.

Насчёт руткитов, которые заражают бут-драйверы - это хорошая идея! Для успешной реализации моего метода, нужно просто "заразить" бут-драйвер моей самозащитой! Для этого мне нужна только детальная техническая информация о загрузке и получении управления бут-драйвером в Windows последних актуальных версий, имеющих хождение в народе.

Общая схема всегда одна и та же: в Точку Входа, куда передаётся управление от предыдущей компоненты (модуля, блока, и т.п.), внедряется хороший защитник, выполняющий (само-)защиту ОС и всего того, что нужно защитить от внедрения чужеродного.

Теперь насчёт затирания "самозащиты". Если её кто-то затрёт, то ему придётся грузить ОС вручную. Других вариантов нет. Пусть зловред грузит Windows полностью самостоятельно, не пользуясь стандартной схемой загрузки!

Так что давайте мне необходимую техничскую информацию о работе бут-драйвера, и я "отрублю" руткиты, которые заражают бут-драйверы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

АВаТар

Возьмите любой буткит и посмотрите, как он заражает систему, как реализовано его лечение. Вашу защиту просто перезапишут из под ОС и все. Прям сразу после загрузки. И перезапишут правильно, т.е. ОС загрузится стандартно.

Про бут-дрова, тут вообще без комментариев, никто вам не даст заражать дрова.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

АВаТар, ваша защита будет работать если только нечто подобное сделает МС уже на этапе компиляции своих драйверов...

а если говорить только про MBR то все равно приходим к той же проблеме:

Не заблочили лишь потому что тогда не будет работать много легального софта, а на алерт юзер все равно нажмет "да".

Потому решается на данный момент это костылем вида: создается вайтлист на приложения из которого алерта не будет

т.е каким-то программам нужно разрешать лазать в MBR, а каким-то нет. опять приходим к вайтлисту...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

priv8v, вы здесь:

"АВаТар, ваша защита будет работать если только нечто подобное сделает МС уже на этапе компиляции своих драйверов..."

поняли меня совершенно правильно! :)

А вот ниже, про MBR - я уже ничего не понял. :(

Могу только сказать, что иммунизатору "нужно разрешать лазать в MBR", либо MS-у разрешить переписать все свои загрузчики на "правильные", со встроенной самозащитой. Однако, иммунизатору "лазать в MBR" потребуется всего лишь 1 раз в жизни ОС на этом загрузочном диске.

Alex_Goodwin, попробую разжевать помельче. Систему самозащиты нужно встроить в стандартные механизмы загрузки ОС, желательно, самой MS. Чтобы они сами сделали самозащиту во все Точки Входа. Обойти это будет невозможно! Либо, как единственный вариант развития событий - грузить ОС трояну самому! :))

Так что, если "защиту просто перезапишут из под ОС и все", то грузиться ничего не будет! Это не будет загружаемой ОС. Умрут все - и троян и ОС одновременно.

"И перезапишут правильно, т.е. ОС загрузится стандартно" - видимо, понятия о "правильности" у нас совсем разные. С моей т.з. правильно - это, как сказал priv8v, защита будет работать если только нечто подобное сделает МС... Вот это будет 100% правильно!

Про бут-дрова, позволю себе комментарий: позвольте мне (или MS-у) заразить дрова!

ЗЫ. Если что-то в моей идее не понятно, задавайте вопросы.

ЗЫ2. Реализованная мной для DOSа система защиты от boot-вирусов работала 100% в "боевых" условиях, изгоняя реальные вирусы из этапа загрузки. Я и мои друзья видели это сами несколько десятков раз. Конечно, вирус мог сбить мою защиту, переписав мой MBR на стандартный. Но они не решались трогать уже стоящий в системе, чтобы ничего не рухнуло! Следовательно, чтобы заражения не произошло, нужно заменить стандартный MBR на мой! :) Чтобы MS сама делала такие стандартные MBR! И если они не могут/не хотят, то нужно им тактично объяснить, что самозащита во всех Точках Входа - благо для их детища.

Я всё сказал!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вспоминаю историю, когда лечили Висту от буткита, а она на момент лечения уже прикопала зараженный бут как родной. И после лечения детектила изменение и восстанавливала обратно на зараженный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
истему самозащиты нужно встроить в стандартные механизмы загрузки ОС, желательно, самой MS. Чтобы они сами сделали самозащиту во все Точки Входа. Обойти это будет невозможно!

Уважаемый изобретатель велосипеда, настоятельно рекомендую поискать в гугле UEFI Secure Boot.

Про бут-дрова, позволю себе комментарий: позвольте мне (или MS-у) заразить дрова!

Возьмете сэмпл любого зловреда, который так инфектит и посмотрите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

АВаТар, ваша защита будет работать ровно до тех пор, пока не станет сколь-нибудь популярной, после чего зловредописатели будут просто проверять загружаемый ими MBR/VBR на "вредоносность" и, в случае положительного исхода, патчить ваш "самозащитный" код прямо в памяти так, чтобы он переставал сбрасывать перехватчик 13h. И на этом, собственно, защита и кончится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот ниже, про MBR - я уже ничего не понял. sad.gif

Могу только сказать, что иммунизатору "нужно разрешать лазать в MBR", либо MS-у разрешить переписать все свои загрузчики на "правильные", со встроенной самозащитой. Однако, иммунизатору "лазать в MBR" потребуется всего лишь 1 раз в жизни ОС на этом загрузочном диске.

Допустим механизм зловреда такой: CreateFile - SetFilePos - WriteFile - Reboot и на экране красуется MBR-локер-вымогатель (винда не загружается).

Работать тут можно из под винды и "из под биоса". При работе из под винды мы сразу сталкиваемся с ситуацией что это нормальная программа пишет в мбр и ей бы это нужно разрешить (нужен обновляемый вайт-лист таких приложений). А если "из под биоса" сверять там что-то, то опять таки вышеозвученная проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вспоминаю историю, когда лечили Висту от буткита, а она на момент лечения уже прикопала зараженный бут как родной. И после лечения детектила изменение и восстанавливала обратно на зараженный.

На самом деле очень мутная история, потому что никаких таких механизмов в висте не было и нет - переписанный MBR никто не восстанавливает.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На самом деле очень мутная история, потому что никаких таких механизмов в висте не было и нет - переписанный MBR никто не восстанавливает.

эту историю я не знаю, но чисто в теории могу предположить, что:

1. чистили мбр, а зловред его перезаписывал и специально или нечаянно валил систему

2. пытались вычистить зловреда из ядра, а винда думала, что это ее родной код и сама роняла систему

хотя я не уверен, просто первая мысль пришедшая в голову :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin, спасибо, КЭП! за вашу рекомендацию поискать в гугле UEFI Secure Boot - нашёл кое-что интересное, о чём будет упомянуто ниже. И да, я смотрел DOSовские драйвера и исследовал механизм их заражения. Самозащита туда внедряется аналогичным образом, если этого не делают разработчики.

Илья Рабинович, вы правильно мыслите. Для того, чтобы справиться с внедрённой самозащитой, зловреду будет необходимо знать эту защиту "в лицо" - так же, как и антивирус "знает" вируса. :) Так пусть они ведут свои базы защиты! Моя идея - не дать зловреду загрузить ОС, если он не передаёт управление "моей" защите.

priv8v, при всём уважении, не понял - о какой "вышеозвученной проблеме" идёт речь? Можно поконкретнее?

А про "CreateFile - SetFilePos - WriteFile - Reboot и на экране красуется MBR-локер-вымогатель (винда не загружается)" могу сказать только одно. При загрузке компьютера, после отработки BIOSа, на пустом чёрном экране красуется надпись "Boot virus! Cure? Y/N". И если пользователь нажмёт 'Y', то он увидит обычную загрузку Windows. А если, по каким-то особым соображениям, нажмёт 'N', то он увидит (В УЖЕ ЗАГРУЖЕННОМ WINDOWS) тот самый MBR-локер-вымогатель. Ну и пусть он сам определяется со своими ответами...

Понимаете, зловред ведь тоже жить хочет. А может он жить только с загруженной Windows. А вот этого-то мы ему и не позволим... Ну, или пусть авторы зловредов ведут свою БД самозащит... Или одно из двух. (шутка)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович, вы правильно мыслите. Для того, чтобы справиться с внедрённой самозащитой, зловреду будет необходимо знать эту защиту "в лицо" - так же, как и антивирус "знает" вируса. smile.gif Так пусть они ведут свои базы защиты! Моя идея - не дать зловреду загрузить ОС, если он не передаёт управление "моей" защите.

АВаТар, предлагаемая вами защита должна быть реализована достаточно глубоко, чтобы при попытке ее модификации в памяти сработал либо ав-комплекс, либо патх_гуард.

на пустом чёрном экране красуется надпись "Boot virus! Cure? Y/N"

какой код ее выводит? (где этот код должен по вашей задумке быть размещен)

то он увидит обычную загрузку Windows. А если, по каким-то особым соображениям, нажмёт 'N', то он увидит (В УЖЕ ЗАГРУЖЕННОМ WINDOWS) тот самый MBR-локер-вымогатель

ммм... не совсем так... сейчас скину вам в личных сообщениях зловреда...

priv8v, при всём уважении, не понял - о какой "вышеозвученной проблеме" идёт речь? Можно поконкретнее?

просто втихую блокировать запись в мбр или отпиливать от нее куски будет несколько некорректно, т.к это помешает работе некоторых легальных программ. это имел в виду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Теперь пару слов про UEFI Secure Boot.

1-м пунктом хочу отметить, что система самозащиты работает и без UEFI Secure Boot. :)

2-е. Приведу цитату Линуса Торвальдса: «Я определённо не большой фанат UEFI, но в то же время я понимаю, зачем пользователю может понадобиться загрузка с проверкой цифровых подписей и т.д. И если получить ключ для Fedora стоит всего 99 долларов, я не вижу тут какой-то большой проблемы». А нам, или кому ещё эти проблемы с UEFI Secure Boot нужны? (Вопрос риторический, если что...)

3-е. Цитата с Хабра. "Такая вот фигня. Сама же Secure Boot в плане защиты — сомнительная технология. Если Win 8 такая отвратительная OS, что не может сама защитить свои загрузочные записи и память периферийных устройств, то зачем вообще её использовать? Если же она не такая отвратительная, то зачем нужна Secure Boot? Защищаться от хакеров, которые ходят по домам и устанавливают своё malware с дискетки? А представьте проблемы пользователя, если вдруг malware действительно пробьёт защиту и пропишется в загрузочные записи? Это же полная недееспособность системы сразу же. Лучше ли это, чем возможность продолжать работу?" - практически мои слова! Вот и 1-й единомышленник попался! :) (Только у меня инвайта на Хабр, чтобы пообщаться с единомышленником, нету :( ) А то тут пока что почти конструктивная критика звучит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...