Приемы, облегчающие работу противника. Часть 11.
Противодействие мониторам работает только в том случае, если программа знает, как определить наличие монитора в памяти и как его обезвредить.
Поэтому часто противнику достаточно изменить логическое имя драйвера монитора, чтобы программа оказалась не в состоянии его обнаружить.
Кроме программ-мониторов, принадлежащих к семейству активных инструментов, есть и семейство пассивных инструментов. Это программы, которые позволяют отслеживать произошедшие изменения, не находясь все время в памяти. Просто до первого запуска защищенной программы необходимо сохранить текущее состояние реестра или определенных файлов, а после запуска сравнить новое состояние с предыдущим. Те записи, которые были изменены, сразу окажутся на подозрении у противника. Использование пассивных инструментов не может быть обнаружено защитой, и единственный способ противостоять им — внести очень большое количество фиктивных изменений, чтобы затруднить противнику определение действительно важных записей. Но такой подход неминуемо приведет к снижению производительности.