Нескромный вопрос по поводу фроста

дело было так. после последнего обновления фроста после запуска линейки через несколько минут начинались страшенные тормоза. комп на срок до минуты замирал, только мышь двигался, и то с трудом. потом лаг заканчивался, линейка иногда продолжала работать, иногда отрывалась. на компе стоит антивитрус mse, запускатор и линейка в исключениях. что - то с этим нужно было делать,решил я перепровериться насчет вирусов. mbam выдал мне два "плохих" файла в %systemroot%\system32. файлы лежали в пассивном, незадействованном состоянии, mbam не обнаружил ссылок на их запуск. тем не менее после удаления этих файлов лаги пропали.

в связи с этим у меня вопрос. фрост таки шарится по виндовым директориям или же он этого не делает ? точно не помню, но вроде я видел краем глаза заверения администрации, что фрост не сканирует директории, отличные от директории игры.

 

да проще все на самом деле.

Спойлер

перехвачены
zwopenprocess
zwquerysysteminformation
zwqueryvirtualmemory
zwreadvirtualmemory
zwwritevirtualmemory
из ntdll.dll

также есть system-wide нотификация о создании/завершении процессов системы, а также модификация sdt (service descriptor table), т.е. перехват осуществлен на уровне ядра (вас должно интересовать то, что все приложния явно использующие sdt и не имеющие способности к ее автовосстановлению подвержены прохождению через фильтр-драйвер frost). все. даже мифов строить не нужно.

показал бы и в исходных кодах, только зачем? да и по шапке получить можно, думаю.

 

я тогда просто теряюсь, как можно объяснить болезненную реакцию системы на нахождение определенных файлов в системной директории. как - нибудь я все же отнесу эти два файла на заведомо чистую систему, положу в windows\system32 и посмотрю, как фрост отреагирует. то, что фрост занимается мониторингом активных действий, на мой взгляд, еще не значит, что он на досуге не сканит посторонние директории

 

не поняли вы меня. это незачем пока делать, поверьте.
даже всеми любимые лаунчеры, как альтернатива запускатру, прекрасно попадают под его прицел (базовый функционал создан уже очень давно, но до сих пор оправдывает себя). вопрос только в том, что бан-хамер не включают пока не включают.

я не хочу сказать, что это пик защиты - наоборот, очень многое в нем очень слабо пока реализовано (к слову, те же api особенности createprocess не учтены полностью), другие элементы - деструктивны в некоторых смесях (имею в виду с другим по), и т.д. и т.п. но критиковать просто, а вот отработать этот вопрос, воплотив в новые версии - дело другое, и идет оно крайне туго пока.


что касается файлов - если интересно, то давайте их мне в лс, проанализирую. ну а хотите - сами займитесь, потом расскажете.