|
Закрыть Антивирус
| |
| Don_Diego | Дата: Суббота, 20.10.2012, 12:23 | Сообщение # 26 |
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
| xXxSh@dowxXx, я уже дома. Сегодня вечером можем продолжить поковырять. Я займусь этими "трудностями", не переживай 
|
| |
| |
| Neo | Дата: Пятница, 04.01.2013, 07:35 | Сообщение # 27 |
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| Ну так-как тема интересная,я покажу как я затираю исполняемый файл антивируса по его кластерам.Модуль для работы на низком уровне с файловой системой я нашёл где-то в инете.Дописал только подпрограммы CopySam и CopySystem.Скажу сразу,таким способом можно не только убивать антивирусы,но и копировать файлы
винды SAM/SYSTEM (ну вы знаете что за эти файла,так ведь?)А ещё вы можете спакойно защитить курсовую по Организации ЭВМ.Да,там есть тема получения цепочки кластеров заданного файла в файловой системе NTFS))))Единственное,что это будет работать только на XP,но не на 7.Так как была история,что таким способом хакеры пиали свой код в файл подкачки,а оттуда этот код попадал а ОЗУ.Или брали внедрялись в процесс нужной проги,в цикле выделяли память,например GetMemом,пока память не выгрузится в файл подкачки,потом открывали этот файл и правили данные.После такого программа уже работала "как надо".А дяденьки из Microsoft разозлились и вообще заблокировали открывать \\.\PHYSICALDRIVE0 для неразмеченных дисков.
Ну вот сам модуль:
Доступно только для пользователей
P.S Хотя зачем получать цепочку кластеров файлов sam/system,используя небольшую кучу API функций,тратить столько нервов,если можно сделать так
P.P.S это была шутка,интересно о чём думал тот чувак?)))))
|
| |
| |
| dolphin | Дата: Воскресенье, 06.01.2013, 15:24 | Сообщение # 28 |
Администратор
Сообщений: 906
Статус: Offline
| Neo, у меня почему то не работает, deviceiocontrol выдает false
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Волк-1024 | Дата: Воскресенье, 06.01.2013, 16:32 | Сообщение # 29 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| На Windows 7 x64 при попытке открыть файл SAM. Фейлится CreateFile и функция начинает что-то постоянно копировать. Так за пару секунд она накопировала что-то аж на 1ГБ!!! Копирование файлов по кластерам работает отлично (писать куда-то не рискнул ))) ), но ооочень медленно. Например GUI'шник NOD'а копировался 4 минуты. Несмотря на мой I5 2500K. Хотя возможно это возможно из-за медленного харда? Или... Кода... 
Pascal, C\C++, Assembler, Python
|
| |
| |
| virusik85 | Дата: Понедельник, 07.01.2013, 12:23 | Сообщение # 30 |
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
| Записал видео как можно убить kaspersky
После перезагрузки kis не запустится.
Качество видео плохое так что кто не знает есть настройка
http://tau.rghost.ru/42704307/image.png
http://www.youtube.com/watch?feature=player_embedded&v=X9r-zVgdwy4
|
| |
| |
| Don_Diego | Дата: Понедельник, 07.01.2013, 13:29 | Сообщение # 31 |
|
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
| virusik85, ты напиши название той утилиты
|
| |
| |
| virusik85 | Дата: Понедельник, 07.01.2013, 13:44 | Сообщение # 32 |
|
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
| gmer и malware defender
|
| |
| |
| XSPY | Дата: Вторник, 08.01.2013, 00:47 | Сообщение # 33 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| virusik85, о боже...и тут ты появился кинь уже батник людям))))
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 08.01.2013, 14:41 | Сообщение # 34 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| что за бред вобще, каким это образом gmer.exe удаляет avp.exe в корневой папке антивируса?, если только у Каспера не отключена самозащита!
Добавлено:
ах вот оно что, ну тогда все понятно 
gmer.exe пытается установить свой драйвер, после чего прописывает все нужные ему параметры через реестр, и уже через него пытается прибить неприбиваемое)
у меня Каспер на каждое его действие и четные попытки орал, так что либо у тебя в момент записи видео эвристика не работала должным образом, либо установи более новую версию Каспера и все у тебя будет нормально, ибо Каспер да же на мой старый троян который я когда то писал и то меньше реагировал чем на действия gmer'a
Сообщение отредактировал xXxSh@dowxXx - Вторник, 08.01.2013, 14:56 |
| |
| |
| virusik85 | Дата: Вторник, 08.01.2013, 15:06 | Сообщение # 35 |
|
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
| xXxSh@dowxXx тестировал на последней версии, всё в нём включено, я проверял на моих троянах, может ты что то не так делал или версия старая (там чуть по другому проактивка себя ведёт ) , каким образом ты питался через gmer убить каспера ? и он не удаляет avp.exe
XSPY
Сообщение отредактировал virusik85 - Вторник, 08.01.2013, 15:17 |
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 08.01.2013, 16:00 | Сообщение # 36 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата (virusik85) каким образом ты питался через gmer убить каспера ? и он не удаляет avp.exe
таким же образом что и у тебя на видео, через батник:
gmer.exe -del file "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe"
следовательно он удаляет файлы avp.exe после чего ты вручную убиваешь оставшиеся процессы и естественно каспер после этого уже больше не может запуститься 
Цитата (virusik85) может ты что то не так делал или версия старая
делал все точно по твоему видео, один в один, версия Kaspersky IS 13.0.1.4190
только что проверил на сайте - это 100% последняя версия!
PS: Вобще это все демагогия и обсуждать можно долго, единственный вопрос который у меня возник, каким образом это поможет закрыть АВ на удаленном компьютере?
Сообщение отредактировал xXxSh@dowxXx - Вторник, 08.01.2013, 16:12 |
| |
| |
| virusik85 | Дата: Воскресенье, 13.01.2013, 14:13 | Сообщение # 37 |
|
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
| xXxSh@dowxXx скинь мне уже gmer и батник проверил уже 100500 раз в разных условиях, не блокирует
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 13.01.2013, 19:18 | Сообщение # 38 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Вот держи:
|
| |
| |
| Volf | Дата: Суббота, 13.04.2013, 13:29 | Сообщение # 39 |
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| Я отключаю АВ вот так.
Фишка в том что АВ можно приостановить на время или убить вообще.
При запуске скрипта он не сможет сканировать файлы на вирусы,после перезагрузки компа АВ вообще не запускается.
На видео пример с Доктором вебом.
P.S. Сразу говорю,это не перехват АПИ,как вы подумаете после просмотра видео
Сообщение отредактировал Volf - Суббота, 13.04.2013, 13:31 |
| |
| |
| xXxSh@dowxXx | Дата: Суббота, 13.04.2013, 22:20 | Сообщение # 40 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата (Volf) Я отключаю АВ вот так
Интересно конечно, позволишь взглянуть на код?
можешь не добавлять на форум, напиши в пм или еще куда.
Сообщение отредактировал xXxSh@dowxXx - Суббота, 13.04.2013, 22:21 |
| |
| |
| Neo | Дата: Воскресенье, 14.04.2013, 08:55 | Сообщение # 41 |
|
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 317
Статус: Offline
| Volf,
у меня почему-то сразу сложилось впечатление,что ты что-то в реестре прописал.Твоя прога точно все АВ вырубает?
Сообщение отредактировал Neo - Воскресенье, 14.04.2013, 08:56 |
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 14.04.2013, 11:47 | Сообщение # 42 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата (Neo) у меня почему-то сразу сложилось впечатление,что ты что-то в реестре прописал
конечно можно попробовать повторить эксперимент, тем более что на видео показано только отключение сканирования файлов, да и к тому же не факт что отключив сканирование файлов через explorer, юзер не сможет воспользоваться сканированием напрямую из панели АВ, но через реестр отключить любой АВ точно не получится.
Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 14.04.2013, 11:50 |
| |
| |
| Volf | Дата: Воскресенье, 14.04.2013, 12:44 | Сообщение # 43 |
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| Neo тестировал на авасте и на доктор веб
xXxSh@dowxXx я же написал что после перезагрузки антивирус не запускается.да и до перезагрузки уже перестает реагировать на все изменения как сетевые так и файловые.запускал не криптованный пинч)
Цитата (xXxSh@dowxXx) но через реестр отключить любой АВ точно не получится.
тут ты не прав)Все что ты делаешь вносит изменения в реестр,даже создание папки и тд.так что не профессионально говорить что через реестре не получиться что либо сделать.в реестре можно ВСЕ,нужно просто знать как это "ВСЕ" сделать
xXxSh@dowxXx В пм я тебе писал на счет бага,спишемся по асе или жабе
p.s. Прежде чем что то написать,я долгое время это изучаю.)
Сообщение отредактировал Volf - Воскресенье, 14.04.2013, 12:51 |
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 14.04.2013, 14:53 | Сообщение # 44 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата (Volf) тут ты не прав)Все что ты делаешь вносит изменения в реестр,даже создание папки и тд.так что не профессионально говорить что через реестре не получиться что либо сделать.в реестре можно ВСЕ,нужно просто знать как это "ВСЕ" сделать
с одной стороны это так, а с другой, я имел ввиду тот факт что многие АВ контролируют любые правки своих ключей, и других данных как в реестре, так и в системных папках, через уже запущенные службы и процессы, знаю что можно найти баги в работе АВ, например в обработке какого нибудь не контролируемого ключа реестра, или файла, и при определенных манипуляциях АВ просто перестанет адекватно реагировать, но большая часть ранее найденных багов уже была исправлена (имеется ввиду конкретно АВ Каспер), может быть я многого не знаю, в таком случае буду очень признателен если кто нибудь меня просветит в новых знаниях
|
| |
| |
|
