|
Обход касперского
| |
| C@T | Дата: Воскресенье, 10.06.2012, 02:23 | Сообщение # 1 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| возникла проблема, проактивка касперского блочит прогу когда она пытается скопироваться и записать себя в реестр, получается обойти если скопировать и записать в реестр другую прогу(выписанную из себя) , но этот метод немножко не красивый, у кого какие еще есть идеи ?
P.S я склонялся в сторону инжектов, но они тоже вродебы им блочатся 
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 10.06.2012, 09:41 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| C@T именно так, хоть и метод не красивый, но я пока именно так и использую...
|
| |
| |
| C@T | Дата: Воскресенье, 10.06.2012, 13:38 | Сообщение # 3 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| да метод то не то что не крассивый, а просто не удобный, вот смотри, если на компе вкюлченна UAC, то если выписать из себя ехе файл и запустить его то он уже не будет с правами админа(даже если наш ехе запущен с правами админа) , или же я ошибаюсь ? 
|
| |
| |
| Волк-1024 | Дата: Воскресенье, 10.06.2012, 14:01 | Сообщение # 4 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Как Касперыч палит прогу т.е сигнатурно, эвристикой, эмулятором? Какое название у детекта, который он выдаёт на прогу?
Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 19:43 |
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 10.06.2012, 19:35 | Сообщение # 5 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Волк-1024 самокопирование это полюбому скорее всего эвристика, иначе и быть не может, если софт новый с нуля написан, хотя...
Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 10.06.2012, 19:36 |
| |
| |
| XSPY | Дата: Воскресенье, 10.06.2012, 23:16 | Сообщение # 6 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| ошибаетесь,это дело как раз емулятора!
C@T, тоесть выписать из себя?Из ресурсов дропаеться на диск так?
|
| |
| |
| C@T | Дата: Воскресенье, 10.06.2012, 23:37 | Сообщение # 7 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| Quote (XSPY) C@T, тоесть выписать из себя?Из ресурсов дропаеться на диск так?
да
Quote (Волк-1024) Как Касперыч палит прогу т.е сигнатурно, эвристикой, эмулятором? Какое название у детекта, который он выдаёт на прогу?
сам ехе файл то он не палит, палится процесс записи в автозагрузку и копирования, т.е он просто сообщает что это приложение залазит в автозагрузку и блокирует его, т.е у него срабатывает фаервол
|
| |
| |
| Волк-1024 | Дата: Воскресенье, 10.06.2012, 23:40 | Сообщение # 8 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Quote залазит в автозагрузку и блокирует его, т.е у него срабатывает фаервол
Сообщение отредактировал Волк-1024 - Воскресенье, 10.06.2012, 23:53 |
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 11.06.2012, 09:06 | Сообщение # 9 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| По поводу автозагрузки, Каспер всегда будет палить все более менее известные способы автозапуска, с недавних пор палится даже создание службы для автозапуска, так что да, Волк-1024 правильно говорит, нужно переписывать каким то макаром сам код добавления, но как мне кажется, с автозапуском через реестр каспера врят ли обойдешь, если только не добавить в приложение сертификат подлинности...
|
| |
| |
| Волк-1024 | Дата: Понедельник, 11.06.2012, 17:56 | Сообщение # 10 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Я обошел Касперыча и AVG вот так
Примитивно, но работает 
Правда, обойтёт только в том случае, если палит емулятор.
Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 18:02 |
| |
| |
| xXxSh@dowxXx | Дата: Понедельник, 11.06.2012, 20:20 | Сообщение # 11 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Quote (Волк-1024) Примитивно, но работает
это код загрузки длл ?
|
| |
| |
| Волк-1024 | Дата: Понедельник, 11.06.2012, 20:38 | Сообщение # 12 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Не совсем.
Code
DB 73H
DB 68H
DB 69H
DB 74H
DB 2EH
DB 64H
DB 6CH
DB 6CH
DB 0H
Это shit.dll
Всё основано на том, что эмулятор Каспера не будет знать, что такой библиотеки не существует, поэтому он LoadLibrary вернёт больше ноля. Но т.к такой либы нет, то можно предположить, что код находится под эмулятором. Если запустить код не под эмулятором, то LoadLibrary вернёт 0, а GetLastError ERROR_MOD_NOT_FOUND и значит можно выполнять дальше код. Сейчас большинство таких примеров уже не фурычат, нужны гораздо более продвинутые технологии антиэмуляции.
Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 21:51 |
| |
| |
| C@T | Дата: Понедельник, 11.06.2012, 20:50 | Сообщение # 13 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| по коду:
удобней писать не
Code @LibName:
DB 73H
DB 68H
DB 69H
DB 74H
DB 2EH
DB 64H
DB 6CH
DB 6CH
DB 0H
, а
Code @LibName:
db 'shit.dll',0h
и способ не обойдет нормальный эмулятор кода(они и API функции и импорты из длл трассировать могут)
а по делу, проблема была в том что фаер касперского блочит ехе файл(сам по себе файл не палится)
я вот подумал, код с тем чтобы выписать из себя ехе(извлечь из "ресурсов") вродебы рабочий, ведь можно просто запустить маленькую ехе-ку написанную на асме+UPX(1кб весом) которая просто запишет нужный нам ехе файл в реестр и скопирует его куда надо, но возникает проблема в том что если вдруг у юзера включена UAC , наш процесс был запущен от имени администратора(не важно как) и когда мы попытаемся запустить другой ехе файл то у него может не быть столько же прав как и у нашего ехе(его порежит UAC), правда я не проверял режит ли UAC права запущенному ехе или же оставляет ему такие же права
|
| |
| |
| Волк-1024 | Дата: Понедельник, 11.06.2012, 21:40 | Сообщение # 14 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| C UAC'ом можно попробовать манифест.
Quote и способ не обойдет нормальный эмулятор кода(они и API функции и импорты из длл трассировать могут)
Не так поняли. Я имел ввиду, что Касперыч не знает про существование этой длл, а её и не должно быть. Эмулятор Касперыча вернёт, что она существует, и из этого будет следовать, что по коду прошелся эмулятор, поэтому функция FuckAV вернёт false. Если эмулироваться код не будет, то LoadLibrary вернёт 0, а GetLastError
ERROR_MOD_NOT_FOUND. Из этого следует, что код не был проэмулировани и функция FuckAV вернёт true.
Сообщение отредактировал Волк-1024 - Понедельник, 11.06.2012, 21:45 |
| |
| |
| C@T | Дата: Вторник, 12.06.2012, 00:05 | Сообщение # 15 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| Quote (Волк-1024) C UAC'ом можно попробовать манифест.
нельзя манифест пихать в выгружаемую программу, лишнее палево
Quote (Волк-1024) Не так поняли. Я имел ввиду, что Касперыч не знает про существование этой длл, а её и не должно быть. Эмулятор Касперыча вернёт, что она существует, и из этого будет следовать, что по коду прошелся эмулятор, поэтому функция FuckAV вернёт false. Если эмулироваться код не будет, то LoadLibrary вернёт 0, а GetLastError
ERROR_MOD_NOT_FOUND. Из этого следует, что код не был проэмулировани и функция FuckAV вернёт true.
что то мне всегда казалось что он и вернет что ее нету, ну т.е нормальный эмулятор бы вернул что ее нету(например эмулятор нода этим не обойдешь)
|
| |
| |
| vvova15 | Дата: Среда, 13.06.2012, 18:39 | Сообщение # 16 |
Участник
Зарегистрирован: 24.04.2010
Группа: Пользователи
Сообщений: 83
Статус: Offline
| вроде некоторые авири не умеют эмулировать SSE3, можно воспользоваться этим...
а на счет манифеста то это вроде не актуально уже... все равно табличка вылетит
|
| |
| |
| Piton | Дата: Воскресенье, 16.11.2014, 20:05 | Сообщение # 17 |
Новичок
Зарегистрирован: 16.11.2014
Группа: Пользователи
Сообщений: 1
Статус: Offline
| Всем привет, не так давно столкнулся с проблемой с появлением новой функции Касперского "Защита ввода данных с аппаратной клавиатуры". Теперь мой кейлоггер напрочь отказывается видеть ввод паролей.  У кого есть какие-нибудь соображения по поводу обхода этой защиты???
|
| |
| |
| Anton93 | Дата: Понедельник, 17.11.2014, 08:47 | Сообщение # 18 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Piton, при включенной этой функции, все изолируется драйвером на уровне ядра.
решение:
загрузиться раньше их драйвера, например буткитом
 ICQ: 41896
|
| |
| |
| xXxSh@dowxXx | Дата: Среда, 04.02.2015, 21:30 | Сообщение # 19 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Всем снова здрасте!
И я пожалуй, с позволения коллег по цеху, а именно Волк-1024 и C@T, продолжу тему проблемных мест в защите одного из самых популярных топовых антивирусов - Касперского.
На днях ребята подсказали мне что старая добрая бага, которая казалось бы уже давно должна быть забыта, вернулась к нам из недр бытия далеких 2000х годов.
Описание:
Речь идет о переводе "даты и времени" в операционной системе под защитой Kaspersky Internet Security и Kaspersky Total Security !!!
(мною тестировалось на Windows XP \ Windows 7 с использованием указанных АВ последних, актуальных на данный момент, версий)
Эксплуатация:
Если перевести "дату и время" в ОС на необходимое количество (под "необходимым количеством" понимается время чуть большее чем то что осталось до окончания срока действующей лицензии) месяцев вперед (именно вперед, а не назад!), то через какое то время (примерно от 30 сек. - до 5 мин.) АВ выдаст сообщение об истекшем сроке лицензии, тем самым мы частично теряем работоспособность модуля защиты нашего АВ...
НО И ЭТО ЕЩЕ НЕ ВСЕ !!!
в случае с Kaspersky Total Security (15.0.1.415(b)):
после того как АВ отключил защиту, если вернуть время обратно, то АВ выгрузит сам себя из памяти завершив свою работу
(данное поведение Каспера меня вобще убило  )
в случае с Kaspersky Internet Security (2015):
сам лично не проверял, но со слов тех, кто тестировал именно на нем - лицензия слетает точно так же, но вроде как выгрузки из памяти, при обратном восстановлении "даты и времени", не произошло.
Вывод:
Исходя их этого можно лишь представить с какой легкостью "вирусмейкеры" могут парой строчек кода избавить систему (под управлением Windows) от защиты, предоставляемой этими двумя продуктами "лаборатории Касперского", вот и думай теперь, а на дворе уже 2015 год, сколько воды утекло с тех пор как эту проблему с переводом часов размусолили вдоль и поперек, а толку, как выяснилось в итоге, никакого!
|
| |
| |
| Anton93 | Дата: Среда, 04.02.2015, 22:49 | Сообщение # 20 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| xXxSh@dowxXx, блин, ты хоть под хайд такие вещи кидай) а то сейчас они очухаются и пофиксят.
интересно, с 6-ой версией (которая стоит в больших количествах заведений, ну по крайней мере в моем городе) этот баг проканает?
ICQ: 41896
|
| |
| |
| Волк-1024 | Дата: Среда, 04.02.2015, 23:18 | Сообщение # 21 |
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| На счет вылета - я думаю, что это частный случай.. Не совсем же дураки его писали, ведь так..или...не? Тестируйте, товарищи, тестируйте!
Pascal, C\C++, Assembler, Python
|
| |
| |
| ramzeswr | Дата: Вторник, 17.02.2015, 12:01 | Сообщение # 22 |
Участник
Зарегистрирован: 17.04.2013
Группа: Пользователи
Сообщений: 61
Статус: Offline
| Цитата Anton93 (  ) интересно, с 6-ой версией (которая стоит в больших количествах заведений, ну по крайней мере в моем городе) этот баг проканает?
Проверил на 6-ой, проканало мометально
|
| |
| |
| Anton93 | Дата: Вторник, 17.02.2015, 16:42 | Сообщение # 23 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| ramzeswr, подтверждаю) недавно протестил. забыл отписать. баг на 6ке работает. лицензия слетает
ICQ: 41896
|
| |
| |
| xXxSh@dowxXx | Дата: Вторник, 17.02.2015, 17:10 | Сообщение # 24 |
|
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата Anton93 ( ) баг на 6ке работает
С 6й версией все понятно, она стара как мир и там багов хватало и других, а вот то что в последней версии работает - это впечатляет не по детски
|
| |
| |
|
