Написал я вирус - ничего экстраординарного: дописывает себя к последней секции, абсолютно стандратно ищет базу ntdll (да, на kernel я забил), потом лезет в ринг0 патчить ядро - то есть делает кучу однозначно "вирусных" вещей.
Компилировал я это дело в экзешник без импортов (а на кой они мне? ntdll и так подгружается ведь). И что же - AVP (server, 4.0.6.0, базы последние) не ругается на него! А если кого заразить - то тут он сразу кричать начинает :)
Это я все к чему - неужто AVP действительно забивает на проверку PE без импортов? Или это у меня экзешник уникальный получился? :)))

Интересно, а будет ли запускаться под НТ файл без импорта? Под win2k однозначно не будет.

У меня сейчас стоит Win2003 RTM - все работает :) Под XP тоже вроде работало. А точно под W2K загрузчик ругацца будет? Хотя даже под 2003-м есть небольшая проблема - не создается дефолтная куча процесса. Поле в PEB == 0.

Хмм... Под XP, без импорта?.. Не-а..
Вроде не запускается.

Да, такой файл будет признан ядром, но его не пропустит ntdll.dll.