Интересует принцип распознавания сплоитов. Я только знаю, что сначала антивирь смотрит страницу сплоита, и если его там все устраивает, то он его отпускает. Но, допустим, что сплоит зашифрован. Тогда идет расшифровка и сплоит выполняется. Но, я слышал, что антивири проверяют не только то, что предлагает им непосредственно сама страница сплоита, но и то, что в итоге передается браузеру в отдекоденном виде. Получается, нет смысла от крипторов или как? Что тогда делать? Менять тело сплоита постоянно? Спасибо

Кажется, все зависит от антивируса и вида сплоита.
Нуу...Например, антивирь знает, что на 135 порту есть уязвимость. Неважно какая, она просто есть.
Антивирус видит, что сплоит. Безобидный на вид ломится в порт, в эту дыру.
Антивирь не знает, с какой целью он это делает, но автоматом поднимает тревогу и блочит сплоит.

Думаю. Если анивирь с проактивной защитой, криптор, думаю, мало полезен.
Он лишь снижает возможность распознавания, но не исключает ее полностью.

тут надо конкретно знать, как ав детектят сплоит :) иногди помогает вставить паузы, допустим первый слой крипта -> пауза 5-10сек -> второй слой крипта -> сплоит. для некоторых ав такая тема прокатывает. иногда необходимо провести обсфуркацию сплоита. ну и все в том же духе.

Вот проект от n0153r, UASC:
http://uasc.org.ua/2009/05/анти-експлоіт/

Скачать: http://uasc.org.ua/files/AntExp.rar

ерунда какая-то, всё сводиться к
if Enabled then if getMemorySize>MemorySize*1024*1024 then Suspend;уж не стал я бы на это полагаться, тем более повесив это дело на таймер :)))

Где-то видел фичу - сплоит делится на части и у жертвы собирается, иногда прокатывало =)