Analicemos cada una de las técnicas contra las que quiere proteger el AV:
UAC Bypass: cualquier proceso en el entorno de Windows que se ejecute con el certificado raíz de confianza puede desactivar UAC bit de su propio proceso, así como cualquier proceso generado por él. Esto significa que si su código malicioso puede inyectarse en un proceso que se ejecuta con el certificado de confianza, tendrá todos los privilegios del proceso inyectado. Luego, si crea otro proceso, puede desactivar fácilmente su bit UAC, porque esta es una característica integrada de Microsoft Windows. Esta es la técnica empleada por Metasploit framework para UAC Bypass.
Inyección de procesos: Microsoft proporciona una API llamada LoadLibrary a través de la cual puede cargar cualquier DLL arbitrario del disco en un proceso en ejecución. Lo único que hace el código malicioso es cargar la DLL arbitraria desde la memoria y no desde el disco. Esto se logra a través de una técnica llamada Inyección de DLL reflectiva , que Meterpreter también utiliza.
Detección de kit de raíz: los rootkits funcionan en anillo cero (nivel de kernel), mientras que los productos antivirus se ejecutan en el espacio de usuario. La mayoría de las veces, los AV solo enganchan ciertas API en el kernel land. Cualquier proceso que se ejecute por debajo del espacio de usuario no puede ser analizado por AV. Antes de Vista, los productos AV solían cargar controladores en el kernel para monitoreo. Sin embargo, después de la introducción de PatchGuard , esta técnica ya no puede ser utilizada por el software antivirus. < br> Ejecutando el proceso directamente en la memoria: esta es un área donde los AVs han progresado. Hoy en día, incluso si está interactuando directamente con un proceso en ejecución, el AV examina el tráfico recibido por el proceso desde la red y lo revisa en busca de firmas maliciosas. Sin embargo, hay dos defectos en este enfoque: primero, es la verificación basada en firmas, por lo que es inherentemente débil. En segundo lugar, se realiza solo para los procesos comunes de Windows, como SMB.
Como puede ver, las cosas contra las que más quiere protegerse, son el tipo de cosas contra las que ningún producto AV puede defender efectivamente. La mayoría de los elementos que ha mencionado no son maliciosos por naturaleza. Más bien, estas son consideradas "características". En Windows 8, Windows Defender es la combinación de Microsoft Security Essentials y el software Microsoft Defender. En el lado positivo, es gratuito y tiene un bajo impacto en el rendimiento. Sin embargo, si realmente desea protegerse contra las técnicas que ha mencionado, Windows Defender, o cualquier otro producto AV, no podrá proporcionar una solución efectiva. Para este tipo de ataques, Microsoft tiene otro producto llamado Kit de herramientas de experiencia de mitigación mejorada (EMET) .