> Ну ты опять не поверишь, но есть инструменты типа wireshark и processexplorer. И что, если там у бинаря будет показываться классическая схема "родительский-дочерний процесс"? Подозрительно или сойдет?
Кстати, удачи вычислять processexploreroм грамотно внедренную доп. DLL, сливающую инфу через webdav или днс.
> При небольшом приложении головы можно вычислить зловреда.
При небольшом приложении не только головы, но и толики опыта -- зловред без дебажинга вычисляется обычно только скрипткидизкий. Да и проверки на виртуалку, песочницу, wireshark и т.д. доступны копипастой всем желающим и не используются совсем уж ленивыми.
> а злобные хацкеры, пищущие забитые вирусами активаторы им платят, чтобы всякие сниферы и мониторы не видели их поделий
Открою страшную тайну:
"бизнесу" с обфускаторами (в кидо-сленге "сrypter"ы) бинарников от антивирей уже лет надцать. Массово это дело пошло в 2005-2006, после портирования PoCа товарища Тан Чев Кеонг:
http://web.archive.org/web/20080117115736/security.org.sg/co...
с сишки на VB. ЧСХ, довольно характерная cвязка вызовов WinAPI так и не ловись никогда толком антивирями в рантайме.
И уже десять лет назад куча анти-опций даже в ширпотребе, типа айстилера, была само-собой разумеющейся:
What is new in this version?
• Added new programs like Google Chrome, Opera, the last version of Firefox (3.5),IDM, SmartFtp and CuteFtp.
• The server has been improved for stability, totally tested in XP, Vista and W7.
• New features in the Php Log Manager (Export and Copy), now is more easy to set up.
Recovery:
• Firefox (All versions, included 3.5) New!
• Internet Explorer (All versions, included 8) New!
• Google Chorme (All versions) New!
...
• CuteFtp (Pro, Home, Lite) New!
Features:
• Builder GUI coded in VB6
• Stub coded in C/ASM
• Stub size uncompressed: 330Kb
• Stub size compressed with UPX: 180Kb
• OS: NT/XP/Vista/W7 New!
• FUD (Runtime and Scantime)
• Don't use external programs Important!
• All strings encrypted
• Bypass UAC in Vista/W7 New!
• Test URL function in the builder New!
• Php log manager (With new features) New!
• File binder upto 50 Mb New!
• File cloner and Icon Extractor
• Icon changer (Icons pack included)
• Anti virtual machines
• Anti OllyDbg
• Anti WireShark
• Anti Procmon
• Melt (Self destruction)
• All encrypted
• Good design
Так что злобные хацкеро-киддизы платят $5 за криптор, умеющий скрывать бинарь от антивиря с актуальной базой и классических связок "ВМ-песочница-сниффер" или же используют бесплатные, с "хорошо зарекомендовавших себя" форумов (т.е. слоев малвари на бинарнике будет уже два )).
И да, удостовериться в приемлимой "чистоте" бинарника намного сложнее, чем просто выявить малварь.