Лучший Антивирус

Ну так инжект себя в процессы это ещё не признак вируса, нормальные проги это тоже вроде делают. Ты хочешь чтобы антивирусы палили ексешник только потому, что в нём используются определённые вызовы winapi? Так ведь так можно за вирус принять то, что им не является. Базы сигнатур это база УЖЕ обнаруженных и определённых как вирус объектов. Ничего удивительного в том, что твой незасвеченный "вирус" не определяется, пошли его касперскому по почте и через два часа будет твой вирь в базах.
По этой причине и пошли по пути проактивной защиты, чтобы детектировать подозрительное поведение и таким образом палить НЕ известные вирусы.

Но и тут всё не так просто. Мне вот интересно, есть ли защита от эмуляции ввода пользователя? А то выкинет каспер окошко с запросом что делать с подозрительным объектом, а вирус сам "нажмет" на "разрешить", так что юзер и окошка не заметит этого. В трояне pinch, который так любят использовать для кражи паролей асек такую фигню видел.

[ где-то я всё это уже писал, как раз не в этой ли теме? ну ладно ]

Да, Каспер и ZoneAlarm имеют защиту от эмуляции клавиатурного ввода. Так что вирусу не удастся просто "нажать" на кнопку. А вот, скажем, Outpost 3-ей версии (более новую просто не пробовал) ломался эмуляцией, скажем, на Basic'e парой десятков строк (см. статью 3APA3'Ы про файрволы).

Если бы так было на самом деле... :)
Это ведь я отослал самый безобидный инжект. Но я когда-то писал более мощный бот, который тоже содержал инжект, - и ни один антивирус не сказал ни слова! А вот проактивная защита Каспера тут же заорала, что программа пытается инжектироваться.
Так что, во-первых, проактивная защита образует более 50% защиты антивируса.
А во-вторых, было бы неплохо, если бы постоянно встречающийся в вирусах код инжектирования (там, собственно, и изменять нечего - это несколько всем известных цепочек вызовов API-функций) - было бы неплохо, если бы он детектировался на стадии сигнатурной проверки, а не в проактивной защите, которая у большинства антивирусов и файрволов сильно хромает.

Тот факт, что инжект никем не детектируется, вообще весьма странный. Например, последовательность вызовов UrlDownloadToFile -> CopyFile -> CreateProcess многими антивирусами детектируется как однозначно "вирусная". А куда более опасное инжектирование проходит бесследно.

P.S. Посмотрел списки перехватываемых функций в разных антивирусах и файрволах. Оказалось, что следующие антивирусы точно подвержены эмуляции клавиатурного ввода: , Kerio Personal Firewall 4.3.246, Norton Personal Firewall 2006 version 9.1.0.33, BlackICE PC Protection 3.6.cpj, Outpost Firewall PRO 4.0 (964.582.059), Comodo Personal Firewall 2.3.6.81.
В то время как ZoneAlarm Pro 6.1.744.001 и Kaspersky Internet Security 6.0.2.614 такой напасти не подвержены.

:))))))
Именно это самое и происходит постоянно, когда многие безобидные программы квалифицируются как вирусы (причём даже им даются конкретные имена :)) ). Поэтому сейчас разработчики ПО вынуждены проверять свои программы у антивирусов - не дай бог их творение опознается как вирус! :)

В четвертом Оутпосте эта фича не пройдет

"Такая" не пройдёт. Зато другая - с легкостью. Дружно юзаем функцию SendInput(), о которой большинство антивирусов и файрволов почему-то забывают :)

Зря ты так думаешь. Словишь эксплойт на каком-нить левом сайте, сработает троян-загрузчик в контексте разрешенного файрволом приложения, загрузит файл и установит руткит - вирус-неведимку. Конечно, хороших вирей среди прочего ширпотреба не много
Стоит добавить, что всё выше описанное, если даже вам и "посчастливиться" словить такого хорошего виря, возможно только при отсутствии нормального антивируса и работе в системе с правами администратора(обычно все так и работают дома)