Je hebt een klacht over de onderstaande posting:
"Malware voor browser plug-ins is bijvoorbeeld niet eenvoudig te detecteren en verbergt z'n processen vaak in het geheugen. Als een aanvaller de computer aanvalt kan hij het proces kiezen dat is gewhitelist en dan een thread of DLL injecteren. Dan zit de malware in het proces dat op de whitelist staat." Beetje kort door de bocht natuurlijk. Je kunt het voor injecteren al beoordelen of het een known good/bad is. En anders kun je van elk proces de geladen modules en handles opvragen en dan komt het ook gewoon terug; dan kun je de hash aanvragen en kijken of het op de black/whitelist voorkomt. En anders kun je de schijf via de MFT (of buiten de Windows APIs om) raadplegen en zo snel een bestand beoordelen. Maar voor andere doeleinden is het niet geschikt. Want er is ook malware dat de hash van een ander (whitelisted) bestand teruggeeft om zo detectie te voorkomen (rootkit-achtig behavior). Je kunt beter bestanden beoordelen op gedrag. Malware kopieert zich vaak naar een systeemgebied, ...
Beschrijf je klacht (Optioneel):