Призываются хакеры. Бывают ли вирусы в неисполняемых файлах типа .jpg, .webm, .mp3? Про макросы в документах слышал. Но как это возможно с медиафайлами? Ведь это данные, а не инструкция.
>>254747893 Одно дело спрятать для последующего извлечения специальной прогой. Другое дело - чтобы спрятанный код на любой пеке начал своё чёрное дело.
>>254747846 (OP) В видео точно можно. Связано с запросом кодека для воспроизведения видосика. Также проигрыватели переходят по ссылкам в видео. Дырявый ли именно формат webm - фиг знает. -какер
>>254747942 Пиздец. То есть, если кодек неизвестен, то плеер качает малварь по ссылке и ставит её на комп? Жесть. Чем разрабы думали? Разве нельзя просто вывести окошко: установите кодек h.266? Но это в старых плеерах так?
>>254748055 Именно в jpg или все же в какой-то распространенной софтине для просмотра/обработки, которую можно было сломать специально сформированным жипегом? Так-то вот тебе взлом Фейсбука специально сформированной PNG в 2017 году https://habr.com/ru/post/319676/
>>254747846 (OP) Могут быть. Например, если просмотрщик картинок или медиплеер написан хуево и при определенных условиях в формате файла может исполнять какую-нибудь хуйню вроде произвольного кода. Тогда можно подготовить картинку, вебемку, мп3, да что угодно, таким образом, что программа не сможет его переварить, наебнется и исполнит код вместо данных.
>>254748285 > Да, файлы с неисполняемым расширением могут иметь собственно формат отличный от расширения и быть простыми экзешниками Но ведь если попытаться открыть экзешник в плеере или программе для просмотра фоток, ничего не случится? И это надо специально поменять расширение на .ехе. >>254748239 Почему жипег исполняемый? Там же коэффициенты DCT, сжатые Хаффманом, если я не ошибаюсь.
>>254747970 >Разве нельзя просто вывести окошко: установите кодек h.266? Можно, но в таком случае пососёшь у конкурентов, у которых само работает, либо если потратишь время/деньги на тестирование в сфере иб. Ты бы даже охуел если бы видел баги которые видел и находил я в популярных продуктах мимо другой какир
>>254748353 Ну например плеер начинает читать субтитры, а там какой-нибудь непонятный код, плеер пытается его отключить, но срабатывает дескриптор перенаправления в api плеера. А так как плеер уже запущен, он может исполняться в среде ос. Ну и то что попал из субтитров тоже сможет.
>>254748353 >А почему плеер пишут так, что если там непонятная хуйня, вместо сообщения об ошибке он начинает её исполнять Что значит непонятная хуйня? Тут современные разрабы урлы парсить всё ещё не умеют, например, или экранировать SQL запросы. О каких защитах ты говоришь?
>>254748420 >быстро Никак, поработай тестером, поработай разрабом, поработай админом, потом станешь хакиром, если будешь красноглазить лет 5-10 хотя бы
>>254748424 Код это чистая математика, все операции это переменные, циклы, массивы, как тут блядь можно ошибиться? Нехуй юзать непонятные либы в своём говнокоде, понял?
>>254748353 Специально плееры так не пишут. Пишут так, чтобы на все непонятные ситуации были эксепшоны. Работа какера - найти такие случаи, чтобы это во первых не обрабатывалось эксепшоном, а во вторых приводило к исполнению произвольного кода, ну или там к переполнению буфера, тут могут быть варианты. Это как борьба мочи с говном. Одни стараются сделать так, чтобы ничего не ломалось, другие стараются поломать. Иногда получается. Если уязвимость нашлась, то пишется эксплоит и готовится пейлоад.
>>254748459 >Нехуй юзать непонятные либы в своём говнокоде, понял Два чаю, напиши свою ос, свои кодеки, плееры, языки программирования, спаяй свой процессор, со своей архитектурой.
>>254748459 Берешь переполняешь буффер массива на стеке так чтобы он попортил адрес возврата на нужный тебе, возвращаешься не по адресу, там исполняешь пару инструкций и новый ret а куда? А что там на стеке? Снова что-то испорченное? Выполняем дальше!
>>254748415 Хорошо. А нельзя нормальные форматы и библиотеки работы с ними придумывать? Вот например, такой формат: первые два байта - ширина, вторые два байта - высота, дальше массив RGB. Даже школьник такую хуйню из файла на экран выведет. И чтобы из неё исполнить код, это просто долбоёбом надо быть. Проверяешь, не меньше ли размер файла, чем надо и в двойном цикле читаешь файл, выводишь пиксели. Понятно, что это очень упрощённая хуйня, в реальных форматах Фурье коэффициенты для сжатия, метаданные и прочие субтитры, но неужели нельзя всё прозрачно сделать?
Например, ксерокс, копируя любой документ, не сломается сломается, ибо производители впихнули зонд с созвездием омрона.
>>254748522 >Вот например, такой формат: первые два байта - ширина, вторые два байта - высота, дальше массив RGB Растровый червь-пидор, ты? Или предлагаешь ставить отдельный вьювер на каждый формат файла?
>>254748522 Так это еще надо умно обработать. Чем замудреннее формат файла, тем сложнее написать корректную обработку всех его данных. Тем больше вероятность допустить ошибку.
>>254748522 все и есть прозрачно. по этому в бмп ты хуй что-то запихнешь
но можно его юзать как контейнер, который хранит данные дальше какой-нибудь троян под видом майнинга скачивает очередную картинку с цп на твой комп и исполняет из нее инструкции аккурат после длина*ширина байтов
взламывают в первую очередь доступ до стека, а какими путями этого достмчь - это уже вопрос усидчивости
>>254748518 >>254748559 Эти проверки уже на аппаратном уровне с хрюши введены, алло. Семёрка на железо без этой проверки даже ставится отказывается, а 98 железо с этой проверкой не может прочитать.
>>254747846 (OP) Да, можно, самый простой способ это специальная софтина, которая ломает отображение расширения файла и .ехе пишется не в конце, а посередине файла, а в конце дописывается .jpeg например, создаётся иллюзия что это картинка. Кликаешь на это файл, он тебе открывает картинку, а в фоне уже начинается суета. Ну и это не говоря про то, что можно под кодеки для видео всякое говно замаскировать, принцип выше в треде описывали. Мимо студент-третьекурсник специальности 10.05.01 Компьютерная безопасность. Если кто-то думает что станет хацкером на такой же специальности - то сильно ошибаетесь, будете дрочить матан, матан и ещё раз матан + немного программирования и основы того как устроен компьютер блять.
>>254748559 А это вечная игра в кошки-мышки. При чем, даже если проблему найдут и устранят, у кучи народу будет старый софт стоять, который замечательно можно атаковать. Даже значительно проще, т.к. вся инфа об уязвимости уже публична.
Как бе, шиндовс не просто так малограмотных ламеров троллит неотключаемыми автообновлениями.
Сейчас бы в 2K2One вирусов бояться, когда каждый файл перед открытием перемалывается встроенным мелкомягким антивирусом, если ты, конечно, не отсталый спермолюб.
>>254748556 Ну хорошо, преобразование Фурье тоже прозрачно, так как состоит из умножений и сложений. Кодирование Хаффмана нехитрая штука, просто замены по табличке. Вот тебе и жипег. То же с векторными форматами - просто набор коэффициентов кривых.
И хорошо, нельзя ли сам кодек выполнять в какой-то защищённой среде типа виртуальной машины, где на входе кодированные данные, на выходе - RGB/аудио/видеосигнал?
>>254748598 учи матан, бро, лишним оно никогда не будет а все эти взломы-хуемы только в кино показаны динамично, в остальном это очень задротская дрочильня но если ее полюбить, то это пизда как засасывает
>>254748642 можно и так и делают, но тогда о 4к видосиках можно забыть, как и о конвертации за исчислимое время чем ближе к железу, тем быстрее, но тем больше шансов отдать контроли над этим железом другим
>>254747846 (OP) >Бывают ли вирусы в неисполняемых файлах типа .jpg, .webm, .mp3? Да. >Но как это возможно с медиафайлами? Ведь это данные, а не инструкция. Файлы читаются в приложениях и либах. Если приложение/либу писали дегроды - можно переполнить где-нибудь буфер или эксплуатировать ошибку. Можно на проце в кодеке что-нибудь поэксплуатировать. Но такое практически невозможно или очень сложно осуществить. В целом забей, не для тебя такое делают.
>>254748602 > Состояние памяти берется астральными путями
Бгг, вот ты шутишь, ну а разве не так? Тебе рантайм (читай, матмодель) много гарантий даёт про состояние памяти в сях? Я тебе напомю, что всё управление памятью там надо руками делать, никаких строгих абстракций нет, чтобы чистая математика как-то себя раскрывала, не превращаясь в мешанину нечистот и погрешностей.
>>254748748 Да, много: память которая инициализирована - конкретное значение, неинициализирована - любое(читай как ub, ее так то разыменовывать нельзя, то что у тебя получается так делоть воспринимай как везение)
И самое, мерзкое, аноны, что приходится пользоваться пекой, телефоном. А там внутри ебаная магия: миллионы транзисторов и строчек кода. Даже йоба-хакеры не знают досконально как это всё работает. Что уж говорить о простом пользователе. Но мне пиздец неприятно таким чёрным ящиком пользоваться. Это словно какой-то навороченый станок, который может неожиданно отрубить палец даже при выполнении ТБ.
>>254748653 Учу понемногу, спасибо за напутственные слова.
>>254748672 Да, без шуток. Я был на первом курсе и с третьего курса тогда девку забрали прям в ФСБ работать. Хотя как по мне она была туповата для этого, но училась на отлично. Рассказывала как у неё проходил "собес", её привели в какой-то экранированный подвал, на входе отобрали телефон и прошмонали целиком. Ещё всю родословную пробивали, и даже там нашли какой-то косяк, кто-то из её родственников, двоюродная сестра мамки или типо того, был связан с какими-то мутным типом, который на зону отъехал, из-за этого её даже хотели не брать, но в итоге всё же взяли. Вроде как до сих пор там работает.
Как я понял из этого треда, если мы работаем с пряморучным софтом, исключающим выполнение данных как команд, то бояться нечего. Но если на комп проникла внешне безобидная фитюлька, которая только и может, что тихо сидеть в памяти, не отсвечивать, и время от времени опрашивать сеть на предмет файла картинки или музыки, а в самом файле встроен исполняемый код навороченного адского трояна, то этот код будет выполнен со всеми вытекающими из очка.
>>254748767 Теоретически возможно. Но даже теоретически это будет не исполняемый код который просто исполняется в браузере и ты взломан, а какой-нибудь йоба-скрипт через три пизды исполняемый файл отправляет на пеку. Оче сложно короче. А практически это нереально, только если ебовый нульдей не откроют.
>>254748803 Нене, это всё очень слошна. Должна быть целая тима которая мониторит нульдеи и кроссвзаимодействия пилит.
>>254748825 И это разве много? Это всего два примитива, описывающих механизм работы с памятью. Кто эту работу делать будет, матмодель/абстракция, или человек? Что из этого детерминировано, а что будет работать от балды?
> ее так то разыменовывать нельзя, то что у тебя получается так делоть воспринимай как везение
Ну вот какая-то у вас странная математика получается, не слишком-то чистая, с везением.
>>254748862 >Это словно какой-то навороченый станок, который может неожиданно отрубить палец даже при выполнении ТБ. Как правило, в самом худшем случае этот станок просто заклинит в БСОД или он там сам себе что-то перерубит, до первого восстановления системы. Чтобы он начал рубить тебе пальцы - надо по всяким мутным сайтам лазить, антивирусы не обновлять, и кликать на все подряд по первой просьбе.
>>254748923 >Как я понял из этого треда, если мы работаем с пряморучным софтом, исключающим выполнение данных как команд, то бояться нечего. Ставнь кубес ос и всё, если ссышь/работа в скомпрометированном окружении. Работай по схеме кубеса. Либо ставь хардовые ограничения. Но это для профессианалов уже, в целом адресное пространство системы и контейнеры системные/софтовые хорошо изолируют. >Но если на комп проникла внешне безобидная фитюлька На комп ничего не должно проникать, только если ты не работаешь в скомпрометированном окружении.
>>254748944 >если тебе подобрали данные на вход программе специальным образом Если программа настолько долбоебически или намеренно собрана, что работает с пулом данных с потенциальной возможностью их выполнения, то да.
>>254748968 Есть анализаторы бинарного кода Нельзя по стандарту, там значение и поведение не определено, сразу видно криворукого дебила, не осилившего даже си
>>254748911 Не только нх бит. В первую очередь разделение стеков памяти, исполнения и адреса, биты на процессорах, ориентированные на конкретный стек. Одну то обойти можно, а вот всю систему это постараться надо. И картинкой пнг, которая обрабатывается через программу, через ос, через БИОС это уже миссия невыполнима. >>254748837 Выше описал. Нх бит, разделение стеков памяти, исполнения и адреса, биты на процессорах, ориентированные на конкретный стек.
Почему нельзя писать прогу для которой доказана теорема: "любой файл с расширением .webm приводит либо к сообщению об ошибке, либо к выводу видеосигнала в стандартный интерфейс плеера"?
>>254748865 >Вроде как до сих пор там работает А смысл там работать? В любой гос организации уныло. Лучше быть фрилансером в этой области, порой выходит до 30к в месяц
>>254749095 > Нх бит, разделение стеков памяти, исполнения и адреса, биты на процессорах, ориентированные на конкретный стек Так оно же все обходится, мы адреса берем со стека, исполнять будем не свое, а существующий код по адресам, записываем тоже в память для записи(стек) - мы просто меняем адрес возврата и выше, грубо говоря создаем нашу программу путем исполнения последних частей перед различными ret
>>254749095 >>254749143 В оснвном пишут переполнение не исполнения кода после переполнения. Переполнение вызывает сбои отдельных частей, фиревола/либы/сетевухи/апи/частиапи. И после этого идёт следующий вектор атаки.
>>254749115 > Почему нельзя писать прогу для которой доказана теорема Много кода. Доказательства пишут для менее обирных хуйнюшек, на 5-15к строк. Чтобы написать доказательства для большего объема - придется новый язык изобретать, лол.
>>254749138 Дело не только в деньгах. Но и в связях. Работать в госбезе - это жесть. Если кто-то доебётся, то сильно пожалеет. Можно родственникам/знакомым бизнес крышевать.
>>254748988 >Чтобы он начал рубить тебе пальцы - надо по всяким мутным сайтам лазить, антивирусы не обновлять, и кликать на все подряд по первой просьбе. Либо открыть документ с работы на удалёнке, получить случайный редирект с какого-нибудь сайта из гугла, открыть пиратское кино/игоря, пустить жену/ребёнка за пекарню, установить драйвера от нового принтера ну или отдать пекарню компьютерному мальчику из сервисного центра. Если ничего этого не делать, то всё будет в порядке, конечно, только и пекарня нахуй не нужна
>>254749203 >Если кто-то доебётся, то сильно пожалеет. Миф, вертолёт со спецназом не прилетит Можно родственникам/знакомым бизнес крышевать. Уедешь на бутылку со скоростью 2400 бод в секунду
>>254749181 Ты долбаеб? У тебя есть различные функции, они находятся в исп. области памяти, заканчиваются, в основном, инстр. ret ты портишь стек и когда доходишь до первого ret прыгаешь в середину(ближе к концу) другой функции и там выполняешь пару инструкций и потом новый ret, стек у тебя подготовленный.
Как дать на вход нужные данные? В винде один и тот же бинарник работает на миллионах компах, тестируешь данные на своем
>>254747846 (OP) Шутка не в файле. Подводные кроются в браузерах и операционках, в которых зашито дохуища легаси-поебени с удивительнейшими установками на то как работать с файлом. Алсо, за счёт стеганографии можно вшить код вируса в безобидный файл, а потом просто исполнить этот файл вообще другим кодом, тоже казалось бы безобидным если его брать отдельно. Фокусов чтобы залить говна в дупу полно и они будут находиться и дальше.
>>254749179 Вот я был бы согласен без свистоперделок, но прозрачный код. А не так, что там постоянно уязвимости находят. Прямо железная гарантия и предсказуемость быть должна. Пусть у меня в браузере будет только гипертекст, картинки и формочки, (ну, может, стандартная подгрузка сообщений на сайтах типа двача и мессенджеров), но это того стоит.
>>254749254 >Подводные кроются в браузерах и операционках, в которых зашито дохуища легаси-поебени с удивительнейшими установками на то как работать с файлом Мне интересно кто нибудь когда нибудь возьмется с нуля переписывать ОС?
>>254749244 > >Если кто-то доебётся, то сильно пожалеет. > Миф, вертолёт со спецназом не прилетит Если сотрудник ценный, то с обидчиком могут вежливо поговорить и показать папочку с компроматом. > Можно родственникам/знакомым бизнес крышевать. > Уедешь на бутылку со скоростью 2400 бод в секунду Ну, это, наверно, про высшие эшелоны. Любой бизнес крышуют силовики. Если нет знакомых/родственников оттуда, то лучше в бизнес дальше продажи ведра картошки не лезть.
>>254749316 Есть множество учебных проектов, есть десятки энтузиастов разной степени успешности, есть внутренние проекты йобакорпораций.
Сама ОС это не особо сложно, буквально 30-40 лет назад ОС писали под каждый софт свою. Сейчас ОС пишут с нуля для всяких прикладных устройств и консолей. Проблем с операционками общего назначения для ПеКа, причём судя по всему всё упирается в необходимость дропнуть легаси и сделать качественную модульность. Мелкомягкие на такое идти особо не хотят, т.к очень велик риск дропнуться с рынка - поэтому они стараются плавно перепиливать то что есть. Линухи тоже заперты в подходах в общем-то ещё 90х и там тоже наплодилось хуйни так много что её уже так просто не дропнешь. Из крупных может быть китайцы или Гугл чего выкатят толкового, но нихуя не понятно что там и как.
>>254749361 >обидчиком Если тебя отпинают алкаши до реанимации и порвут очко, тебе не похуй будет чё там с ними потом сделают? Или ты бизнесмен дохуя? Единственное что с этой работы можешь получить это наверное полезные знакомства с интересными людьми и опыт. Но есть риск что тебе отвесят санкций, как ребятам из позитив технолоджис и не возьмут на работу к заграничному барину, если захочешь завести трактор. Зарплаты там не ахти, ну может квартиру там получишь и пенсию какую-нибудь льготную с плюшками вроде ведомственной больнички/санатория, да и всё
>>254749443 Есть готовые туториалы на ютубах и гитхабах. За несколько недель можешь осилить и написать примитив. По-хорошему ещё надо Таненбаума про ОС прочитать, но там на несколько месяцев талмуд.
>>254749397 А хули программисты не занимаются опенсорсом, живя на пожертвования? Всем 300к подавай на айфон и египет. >>254749421 > Есть такие браузеры - гугли, ставь и пользуйся. Тор с отключеным жс?
>>254749492 >А хули программисты не занимаются опенсорсом, живя на пожертвования? Всем 300к подавай на айфон и египет. Ты думаешь капиталоблядки будут спокойно сидеть и наблюдать как у их отправляют в утиль? Нет, не будут. Ежедневные судебные иски, ежедневная война. Мало кому такие войны нужны.
Ух какой смачный подрыв си-петухов пролиставших "Как выучить С++ за 21 день", нихуя не вдупляющих в простые абстракции и основы информатики, зато с каким ЧСВ.
>>254749567 Этот говна жует Вкатился чисто потролить Хотя тут и без него невмен.... Блять, тут типо целый тред тролей, да? Я только щас догнал, сука, обидно
>>254747846 (OP) Есть конечно, в тг такой хуйней балуются, можно друзьям кидать и бабки у них пиздить с киваса, знаю такую историю где школьника в итоге отпиздили.
>>254749505 Вот да. Ведь даже прога на ассемблере выводит буквы в консолечку. А шрифты в проге не вшиты. Хотя их можно даже аппаратно в ПЗУ процессора зашить.
>>254748353 Видео это стрим целостность которого, в принципе, не важна, это же не банковская операция. Вот смотришь ты свою любимую порнушку "ShemalesWithBigDicksFuckingOP.mp4", а там побилось несколько кадров, но пока долбёжку очка опа видно это ок.
>>254749561 Ну вот ты и скатился до перехода на личности, при чем унизить смог только себя. 300 кк/с сеньору из 7а невдомёк, что программирование изучают снизу вверх, а не наоборот.
>>254749675 Вместе с ключевыми лицами этой авантюры. Им иски предъявили, они дропнули сеть и сервера. Но там не айтупи было. Ну может когда-то через айтупи попрут дела. Если скорость в айтупи поднимется.
>>254749706 ? Я спросил, если тебе не понятно что на вход программе или некоторым ее частям поступают данные, то ты вообще прогал? Если да то на столько тупым может быть только "питонист" с онлайн курсов, если нет, то зачем задавать вопросы на которые не в силах понять ответ?
>>254747846 (OP) Теоретически можно заразить жертву файлом с данными, если знать конкретно версию и название софта, которым будет открыт файл, и эта версия будет иметь уязвимость, позволяющую исполнить произвольный код у тебя на компе. Практически - маловероятно. А вот прятать тело вирус может в файле с любым расширением, если уже прописался в системе.
>>254749720 > сервера. Пизда. Неужели нельзя запилить платформу, где каждый комп это сервер? И для того, чтобы удалить репозитории, придётся каждому из миллионов юзеров сломать дверь и отобрать комп?
>>254747846 (OP) тред не читал исполняемый код в медиафайл любой школьник засунет однако чтобы злодею получить какой-либо профит этот код должен эксплуатировать уязвимость софта в котором медиафайл открывают что на порядок сложнее в целом сценариий маловероятный
>>254749706 Кароче, ладно, идешь ты нахуй, я тебе весь алгоритм расписал, ты же продолжаешь строить из себя дурочка, лучше уж постараюсь завтра встать раньше 12
>>254749766 >Пизда. Неужели нельзя запилить платформу, где каждый комп это сервер? Можно. Кто делать будет? Кто модерировать будет? Как модерировать? Эти проблемы не решены, либо мне неизвестно решение. Никто не захочет чтобы в такой сети развлекались какие-нибудь любители отрезать пальцы детям и стримить в онлайне. А такое сделают хотя бы ради провокации.
И такое уже есть, уже пользовался. Прост распределённая ДБ или распределённый компукер. Годная штука, но там тоже проблемы есть теоретические в том числе, исключая этических.
>>254749858 > Можно. Кто делать будет? Кто модерировать будет? Как модерировать? Эти проблемы не решены, либо мне неизвестно решение. Ну вот как в клирнете опен-сорс проекты модерят? Так и там. > Никто не захочет чтобы в такой сети развлекались Сажать надо того, кто совершает преступление. А сеть это инструмент. По такой логике и ножи никто выпускать не должен, вдруг ими будут отрезать детям пальцы.
>>254749924 Анонимность для разработчиков ПО вполне искупляет сеть, пригодную для красных комнат. Так же, как кухонное применение ножей искупляет возможность отрезания ими пальцев.
>>254749911 > Ну вот как в клирнете опен-сорс проекты модерят? Так и там. Неудовлетворительное решение. > Сажать надо того, кто совершает преступление. А как ты узнаешь того, кто совершает преступление? > А сеть это инструмент. По такой логике и ножи никто выпускать не должен, вдруг ими будут отрезать детям пальцы. Ты какой-то гуманитарий либерахенский, хуйню несёшь уже.
>>254750059 > > Ну вот как в клирнете опен-сорс проекты модерят? Так и там. > Неудовлетворительное решение. Почему? > > Сажать надо того, кто совершает преступление. > А как ты узнаешь того, кто совершает преступление? Это уже задача силовиков. Пусть чекают камеры, отпечатки. Они должны уметь поймать преступника даже если он ничего не снимает и не выкладывает. Ибо зло не в стриминге, а в пытках.
>>254750131 >Почему? Лень объяснять. Ну типо тупость это. Не соответствует целям. Децентрализация не полная. Атлант всегда наебёт. Лидер всегда пидер. > Это уже задача силовиков. Ладно, тогда будет провокация. И будет обвинена сеть. И буду посадки обычных людей и массовые блокировки. Чел, это всё всем очевидно, ответственность за инструмент это нормально. > Ибо зло не в стриминге Либерахенская религиозная хуйня. Просто не веруй в такие постулаты.
>>254750262 Чтобы запретить нужен акт. А это уже какое-то явное дерьмо будет. А вот устроить провакацию - замилудушу. Они еще и войны устраивают. С подключением нахуй, посмотри что в РФ ради прибыли делают.
Ну и гугли как на Столмана начали все гнать и отказы в сотрудничестве предъявлять. Там майки отметились, гугле, редхат (официальные поставщики ПО для ФБР) и прочие человечки и отдельные кабанчики.
>>254747846 (OP) Закриптовать можно все, что угодно и во что угодно. Одно дело, что криптовать надо уметь, ибо даже майкрософт дефендер научился неплохо так работать