Не должен измениться. Иначе к чему тогда эта гребаная проверка на наличие хеша в базе данных вирустотала?
Ну к примеру имя файла не изменилось, а начинка уже другая. Думаешь, это не возможно? Я говорю о заражении. Например. Ты качнул тулзу, загрузил на ВТ и все вроде ОК. Юзаешь. Дальше, 2 варианта:
1. Тулзу ктото заразил. Имя не поменялась, хэш поменялся. Как проверить? Правильно загрузить по новой. И тут то и выясняется, что файл был изменен (хэш другой) и ты в полной жопе.
2. Тулза содержит скрытый вирусный код (который еще не детектицо антивирусами. Ты юзаешь, кормишь создателей вируса. В какой-то момент замечаешь странное. Загружаешь на ВТ поновой - хэш тот же, но, О Боже, это вирус! И ты опять в полной жопе.
Второй случай я показал наглядно. Правда, это была не полезная программа и палевно вела себя как вирус. А по отчетам видно, когда какой антивирус стал узнавать его.
А теперь по-русски скажи, что произошло с проверяемом тут файлом в промежутках между последовательными загрузками его на ВирусТотал.
То, что эвристика может давать последовательно разные результаты проверки одного и того же файла, это и так ясно.
А, я понял. Это такой петросянский толстотроллинг. Оке.
Симантек настолько суров, что кусает сам себя? ЛОЛ. Вы юзали AVP4? Дада, тот самый каспер до того, как стал KAV5. Он выпиливал сам себя! Грит заражен и ниипёт. Антивирусы все сильнее и сильнее становятся похожими на вирусы. И я не шучу. Это гонка технологий: кто глубже закопается. Чем ближе ты к ядру, тем бОльше у тебя привилегий. Что не делает чести стабильности самого ядра, которое и так глючное. Но не думайте, что переход на линупс вас спасет: там еще хуже. Там сплошные руткиты. В купе с социальной инженерией это вообще полный атас. Так же, есть мнение, что каспер идет по следующему пути: меньше свободных ресурсов в системе = меньше шансов успешного запуска вредоносной программы. Но. Есть еще и не вредоносные программы. Покупая новые компы вы кормите антивирус. Далее. Чисто мое ИМХО. Есть две модели памяти процессора. 1. программы и данные хранятся в куче. 2. программы и данные храняться в разных физических местах (эта модель у всех микроконтроллеров). Теперь, внимание вопрос: какой еблан придумал передавать данные через программный стэк? Трудно было выделить отдельную область что-ли? Остюда проблема: порча стэка позволяет запустить код, который изначально был данными. Стали латать: придумали DEP. А зачем спрашивается? Я знаю, что передача данных через стэк программы - это дибилизм С (в асме такого не помню), с которого все перехватили. Т.е., переписав компилятор С так, чтобы стэк использовался ТОЛЬКО по прямому значению (а именно: временное хранение данных командами PUSH/POP и адреса возврата), а для передачи данных выделять место в куче и пересобрать все бинарники. 95% этих ваших вирусов соснут. СРАЗУ. И закроются те же 95% потенциальных ненайденных дырок в драйверах и службах.
Что касаемо "сетевых атак", о которых тут писали, не ссыте. Это не в вашем компе дело, а в сети, куда вы подключены. Видимо никто из вас не юзал нормальный фаерволл (например тот же Комод) и тем более не смотрел логи нормального фаервола. Говно случается постоянно в этом мире.
PS Мегавысер, многабуков. Но рекомендуется к прочтению.