Да какая разница: не так, так кейлоггером выцепить можно

Можно предватительно отравить таблицу жертвы соответствием IP/MAC (злоумышленника), послав arp-запрос не на броадкаст, а прямиком жертве - таблица у жертвы обновится и никакого шума

Pchol,
Спасибо, но немного не то - интересует именно вставка своих секций в exe на лету или что-то подобное

Т.е. в сети будут гулять левые arp-запросы/ответы от Layer-2 Network Guard, а сами компы, на которых установлен Layer-2 Network Guard будут знать реальные IP/MAC друг друга? И как только кто-то "поведётся" на левые arp, сразу выявим злоумышленника?

Очень плохой вариант - добавлять  на каждом компе юзера, вместо того, чтоб позволить через Групповые политики анонимный доступ - не надо ничё вводить при доступе, винда сама будет прозрачно авторизовываться именем текущего юзера.

Да и включать гостя - это значит, давать локальный доступ к совему компу. Тогда придётся ковырять безопасность своего компа, чтоб лишить созданного юзера всех прав.

И потом: анонимный доступ в винде по-дефолту разрешён для Public и Shared.

Если нужны другие папки - просто добавить их туда.

На каждой тачке добавлять папки потребуется только если на каждом компе нужно для доступа открыть папки отличные от вышеуказанных

Думаешь, у тебя получится лучше, чем у спецов, которым за это не малые бабки платят?

Песочница анализирует команды, посылаемые процессору, а не что нового в файловой системе появилось - иначе такая проверка занимала кучу времени и ресурсов.

Вот тут как раз с анализом команд и фигово:куча nop-ов, непонятного мусора... Или вот предположим, вирус записывает себя в ауторан в реестре. Но он не вызывает напрямую функцию CreateKey (ну или как там WinAPI для создания ключа у нас?), а вычисляет её адрес всякими трюками. В итоге все, что видит антивирусник - обращение к разным участкам памяти, но увидеть обращение к CreateKey он не сможет

Ты предлагаешь выяснить адрес сайта, а потом пытаться выдать гейт за этот адрес? Это как-то гемморойно...  

Лучше дать отправить данные с чистой винды, где нет приватных данных и снифферить всё

А правильно ли пыталась? Смотри гугле образцы. Может, что напутала

Предложенный вариант не додуман:
1. Если файер заблокирует приложение - мы узнаем куда оно просилось, но не на какой ящик данные шлются, т.к. файцер просто не даст связаться с сервером и передать данные
2. Троян может иметь функции руткита, тогда от стенки толку нет

n0n2me ruserr
Ставь на тестируемый комп винду и Shadow User (прога делает образ системы и работает с ним, т.е. после перезапуска все изменения в системе исчезают, подробнее смотри в гугле) и сниффер (Wireshark подойдёт). Запускай троя, следи за логами снифера

Тебе ClosedGL ясно ответил на вопрос: если файл называется НЕ Kernel32.dll и путь до него НЕ %SystemRoot%\System32\Kernel32.dll - скорее всего, это троян и надо его обезвредить

Не все такие ловеласы. Многим мешает стеснение или волнение (прям как в рекламе Мегафона)

Злоумышленник может вырубить посылку со своего компа arp-запросов и ловить arp broadcast для создания карты сети

Тогда получается, что Касперский, NOD32, DrWEB и прочие - уже идеальные, т.к. все они анализируют файлы в песочнице.

Но всё-равно не находят неизвестные вирусы - не так-то просто разгребать кучу команд, посланных вирусом. Особенно если они замаскированы, используются анти-отладочные фокусы.

Не всегда. Но в принципе, ты прав

Да и потом: все антивирусники очень охотно клюют на манипуляцию со стороны сторонних приложений: сколько уже известно о возможности программно нажимать кнопку разрешения во всплывшем окне антивирусников - а они до сих пор не предприняли мер противодействия...
Хотя бы рандомайзное имя окна бы сделали для затруднения поиска окон со стороны вирусных программ...

Как менять системные значки вручную?

Ну это как сказать... К примеру, последовательночть TCP пакетов при установлении соединения у шлюза и у  клиента шлюза - разная. И при совместной работе шлюза и клиента будут заметны 2 разные последовательности пакетов, что является указателем на NAT
Чтобы нельзя было просечь - шлюз должен менять номера пакетов на близкие совей нумерации, а при получении ответного пакета для клиента - менять обратно

ВWinXP SP2 по-дефолту не даёт подрубаться к расшаренным ресурсам под учёткой юзера с пустым паролем.

А вообще - нужно просто разрешить анонимный доступ к сетевым ресурсам (эта опция настраивается в Локальные политики->Локальныек политики-> Параметры безопасности).

А для чего нужны-то? Предложение о работе или как?

Медитация (настрой своего сознания и подсознания на нужный лад) очень здорово помогает - что-то вроде алкогольного воздействия, только трезвый и хватает реально на дольше. Хотя, эффект достигается далеко не с первого раза.

А вообще, важно не забывать, что причины бед - в нас самих. И, как говорят психологи: как настроение влияет на то, что ты делаешь, так и наоборот. Так что занимаемся любимым делом и не грузимся всякой ерундой!  

Ну, в теории-то оно понятно, но хотелось бы Proof of concept попробовать...

Хм... действительно, поддерживает 64-разрядный режим:
http://www.intel.com/cd/business/enterprise/emea/rus/340735.htm