Проактивная защита что это такое,
Пример: картинка

Такое сообщение выдает Касперский, если внедренный в него код, пытается изменить другие процессы.
Интересно какую, кнопочку выберут, обладатели Kaspersky Anti-Virus.

Поехали обходить защиту.
на примере самых популярных защит, по опросам Античат.
Какой Фаервол Вы предпочитаете?
Outpost 60.61%
Какой Антивирус Вы предпочитаете?
NOD32 44.81%
AVP(Kaspersky Anti-Virus) 35.31%
Пишем код под WinXP.

1.Внедряемся в CSRSS.EXE
Чем замечателен, этот процесс в XP, он имеет права изменять память других процессов, а этого мы хотим добиться (процесс системный – добавляем себе привелегии SeDebugPrivileg, а из под Гостя можно выбрать процесс попроще, например explorer.exe).
Открываем процесс CSRSS.EXE и пишем туда наш код.
Не получилось, сработала проактивная защита.

NOD32,Outpost ставят НооКи на WriteProcessMemory.
те. Если мы вызываем функцию записи в чужой процесс, сначала выполняется код внедренный в наш процесс, и этот код разрешает или запрещает запись.

Выкидываем шпионов из нашего процесса.
Открываем файл systemroot\ntdll.dll
Сравниваем (первые 10 байт) кода начала API функций, загруженной, к нам память ntdll.dll с тем, что на диске. Собственно, заменяем, несоответствия на оригинал.
Тоже самое проделываем, с остальными библиотеками (Kernel32,User32,AdvApi32)
Касперский , модифицирует адреса функций в EXPORT_DIRECTORY, тоже заменяем, на оригинал.

Вторая попытка:
Открываем процесс CSRSS.EXE и пишем туда наш код.

NOD32,Outpost в пролете. Касперский все перехватил драйвером. (сцуко)
хотя, норд с аутпостом тоже, заметили, но почему-то, ничего не предприняли.

Выкидываем AVP из списка процессов
Ставим Hook на WH_CALLWNDPROC для AVP.EXE, и шлем сообщение WM_QUIT.
Как только Касперский попытается вывести сообщение, о срабатывании системы самозащиты, тут же слетит по команде TerminateProcess,-1
Касперский тоже, заметит, но решит что Вы разрешили это сделать, и тревогу не поднимет.

Третья попытка:
Открываем процесс CSRSS.EXE и пишем туда наш код.
Все прошло удачно. Можно перезапустить Касперского, чтобы пользователь ничего не заметил, и выходить из программы, чтобы в диспетчере задач нас тоже не было.

1.Мониторим запущенные браузеры.
У svchost.exe, плохая репутация, редко кто этому процессу разрешает доступ к интернет.
Ждем запуска популярного браузера (Firefox.exe, Opera.exe, Iexplore.exe)
Инжектим свой код в браузер и у нас появились хоть, какие-то права.

Ну например, загружаем 'http://xserg11.narod.ru/VB.wav' , в 'c:\VB.wav' (64кб 1мин.)
И запускаем ShellExecute(,, 'c:\VB.wav'
VB.wav (с) Nightmarе. Оригинал http://shinobi.org.ru/pranks/get.php?id=12

Для теста вашей защиты можете запустить:
Делает все выше перечисленное.
http://xserg11.narod.ru/tests1.rar (12,5кб) с исходником MASM32
(TESTS.exe 5632байт, чуть покриптован /NODу не нравится/, не закрепляется в системе, ничего нигде не меняет, ничего не ворует, и вообще не вредоносная программа, после использования систему перезагрузить)