Проактивная защита обнаружит только стандартные вещи. Я лет 10 назад писал трояна для проекта по защите сетей и тестировал его со всеми на тот момент существующими файрволами. Особенность была в том, что я использовал самописный протокол. Большинство файрволов смотрят только TCP/IP трафик, забывая, что это всего-лишь IP-level #4, из общего множества. Так разместив его на 80-м порту, я тестировал удаленное администрирование (а троян именно это и делал – доступ к файловой системе, к процессам – sendmessage для handle-ов приложений), и реакцию файрволов на соединения и разные задачи. Все файрволы пропускали без слов этот трафик как http-коннект, хотя http-заголовками там и не пахло, разве что hello перед коннектом. Единственным файрволом, параноидально сообщившим о возможно опасном контенте был тогда еще бесплатный и только появившийся Zone Alarm.Какова мораль сей басни? 1. Если хотите защитить винду, обязательно содержите систему в актуальном состоянии – должны стоять все патчи.2. Встроенный файрвол – очень сильная вещь, но без хорошего хелпа. Не понимаете, как работает, но собираетесь изменять умолчания (включен, всё запрещено) – лучше поставьте что-то другое.3. Если считаете, что ставить заплатки “не ваш уровень” – установите низкоуровневый файрвол, поддерживающий stateful inspection. Это Visnetic Firewall (купленный ныне компанией Deerfield) и Checkpoint Firewall-1. Прост в использовании только первый из них.4. Никто вас не защитит, если вы сами запустите вредоносный код. Если программа уже работает, искалечить любой работающий файрвол – не проблема (если это не Checkpoint или ISA, подменяющие драйверы и файлы системы).
