Вторник, 19.09.2017, 18:08 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Быстрая остановка службы AVP
Быстрая остановка службы AVP
ixДата: Вторник, 21.01.2014, 18:52 | Сообщение # 1
Был не раз
Зарегистрирован: 21.01.2014
Группа: Пользователи
Сообщений: 7
Статус: Offline
Занимаюсь написанием трояна на Delphi. Обход KIS'а сделал так: при установке, троянец перезагружает систему в безопасном режиме, из safe mode-а устанавливает в настройках каспера в реестре AllowServiceStop в 1, что позволяет беспретятсвенно запускать и останавливать службу AVP. Когда нужно совершить что-то нехорошее, троян останавливает службу через команду "net stop AVP", убивает процесс avpui.exe (без службы он совершенно беззащитен) и подменяет иконку в трее. Затем запускает каспера заново.

Вся проблема в том, что через net stop служба останавливается о-о-о-чень долго! Если комп загружен, может и минуту останавливать! Вопрос в следующем: с чем связана столь долгая остановка службы и есть ли способ ускорить этот процесс?
 
xXxSh@dowxXxДата: Вторник, 21.01.2014, 19:31 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Интересный метод, не проверял еще, но как нибудь время будет - протестирую, а с чем может быть связано, ну хз, нужно смотреть, к сожалению на данный момент ничего сказать однозначно не могу.

Но в любом случае, ты можешь в своей программе прописать проверку на момент завершилась ли служба или еще нет, так ты узнаешь в какое время можно дальше выполнять свой код.


Сообщение отредактировал xXxSh@dowxXx - Вторник, 21.01.2014, 19:32
 
ixДата: Вторник, 21.01.2014, 19:59 | Сообщение # 3
Был не раз
Зарегистрирован: 21.01.2014
Группа: Пользователи
Сообщений: 7
Статус: Offline
Думал еще над добавлением проги в исключения KISа, удалось только выяснить, что исключения хранятся в C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP14.0.0\Data\settings.kvdb-shm, а вот про формат этого файлика в инете - никакой информации, наверняка еще и зашифрован.

Добавлено (21.01.2014, 19:59)
---------------------------------------------

Цитата
Но в любом случае, ты можешь в своей программе прописать проверку на момент завершилась ли служба или еще нет

На некоторые действия пользователя (например, просмотр CurrentVersion\Run или открытие ProcessExplorer'а biggrin ) должна быть моментальная реакция. Ждать с минуту, пока служба встанет - непозволительная роскошь.
 
delfcode » Delphi » Вирусология Delphi » Быстрая остановка службы AVP
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz