Суббота, 19.08.2017, 06:27 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 212»
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Закрыть Антивирус (завершить процесс, удалить ехе)
Закрыть Антивирус
Don_DiegoДата: Пятница, 18.05.2012, 23:42 | Сообщение # 1
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Была идея в этой теме http://delfcode.ru/forum/29-709-1 об очень примитивном, но работающем способе отключения антивируса. Код немного добросал, поэтому сейчас имеется заготовка которую можно выложить на обсуждение и возможно доработку.



Если тут все правильно сделано, то этот код находит значок с красно-бело-черной буквой К
У себя на компьютере проверял - все вроде работало, при этом KIS молчал как рыба. Осталось доработать имитацию нажатий клавиш, добавить другие антивирусы/файрволлы. А также немного доработать то что есть: значок KIS-а в процессе проверки мигает, тоесть меняется его размер, поэтому нужно такое прогонять через какой-то промежуток времени.

Кто что скажет по этой идее?


Сообщение отредактировал Don_Diego - Суббота, 19.05.2012, 15:28
 
xXxSh@dowxXxДата: Суббота, 19.05.2012, 07:24 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Don_Diego отлично, отдельная тема это правильно smile

на счет мигания значка, да действительно, но ведь мы можем просто найти точку где находится наш значек во время мигания, и уже по этой точке работать...

имитация нажатия клавиш не проблема, сделаем wink

другой вопрос сразу возникает, как быстро все срабатывает у тебя по крайней мере, успеет ли пользователь заметить всплывающие окна?
 
okeДата: Суббота, 19.05.2012, 15:03 | Сообщение # 3
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
добавить downloader))
 
okeДата: Суббота, 19.05.2012, 15:06 | Сообщение # 4
Постоянный
Зарегистрирован: 15.01.2012
Группа: Пользователи
Сообщений: 124
Статус: Offline
блин у меня тупо программа виснет
 
Don_DiegoДата: Суббота, 19.05.2012, 15:36 | Сообщение # 5
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Только что доделал имитации клавиш. Видео как это работает и сам исходник тут: Доступно только для пользователей
Но это лишь заготовки пока, очень много неясностей и ошибок, как например такое
Quote (oke)
блин у меня тупо программа виснет

А вот на моем компьютере не виснет, поэтому нужно узнать причину. Потестировать нужно.
А так антивирус обрубает на раз, хоть и очень примитивный способ, но зато работающий! Есть и недоработки:
- всякие окошки антивируса не воспринимают имитаций нажатий клавиш, поэтому идет очень долгая задержка в 15 секунд, пользователь может за это время и с розетки компьютер выдернуть
- действительно, данный код не может долго работать, иначе потом вылетает ошибка (м.б. связано с переполнением типа?)



Сообщение отредактировал Don_Diego - Воскресенье, 20.05.2012, 15:17
 
C@TДата: Суббота, 19.05.2012, 20:34 | Сообщение # 6
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
все бы хорошо, но использовать это на практике я бы побоялся smile

ну это во первых, а во вторых, почему бы просто не получить список программ в трее(хендела иконки в трее для нужного процесса) ? (немножко погуглив можно найти исходники) ?

ну а дальше зная хендел клацать на кнопку как захочешь

тема рабочая, у меня даже получалось обходить фаерволы таким образом, просто смотреть когда появится их окно и клацать мышкой на кнопку "разрешить" (тестировалось на comodo и outpost)

закрыто гуи интерфейс любого АВ можно простым инжектом в его процесс(через хуки вниды) и вызовом TerminateProcess

P.S и еще есть способ убить АВ навсегда, это удалить исполняемый файл АВ(этому никакой АВ не сможет сопротивляться, у меня получалось программно удалить NOD32 и авиру, остальные не проверялись)
 
xXxSh@dowxXxДата: Суббота, 19.05.2012, 21:48 | Сообщение # 7
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
По поводу получения хендла процесса и тем самым найти ту же функцию что и при нажатии кнопки выход,да это более удобный и практичный способ,то же об этом подумал,исходники где то были...

Что касаемо внедрения в процесс каспера какой либо длл,теперь такое не катит,они уже исправили эту ошибку...

То же самое можно сказать и о попытке удаления каких либо его файлов или ключей реестра во время его работы,без отключения самозащиты и контроля собственных файлов,он не даст вам это сделать,опять же на ум приходит идея отключения самозащиты через хендл процесса,там всего то нужно галочку снять,но с другой стороны,я не думаю что получится вот так просто хендл получить,хотя...
 
Don_DiegoДата: Суббота, 19.05.2012, 22:30 | Сообщение # 8
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
Во многом согласен с xXxSh@dowxXx.
По поводу хендла и прочего... Да, раньше были тоже такие идеи, и тоже гугл вытряхивал, и наструсил только как получить список программ в трее. И все! А нужно знать координаты. Потом... Все эти если бы да как бы, да где-то исходники есть... Вобщем это все хорошо что они где-то есть, но было бы намного лучше увидеть их тут smile
Дальше... Нужно как-то решить проблему имитаций нажатий Ентера, чтобы закрывать всякие окна. Либо же определять координаты кнопки и тыкать туда мышкой. Потому что там эту фишку уже видимо пофиксили.
Ну... А чтобы пользователь вообще ничего не увидел что его антивирус закрывается, можно на время отключить ему... монитор
lol

Тогда он подумает что у него монитор сломался, может даже понесет его на ремонт biggrin

И вообще, очень хотелось чтобы кто-то это протестил у себя на компьютере, может что исправит/допишет свое, потому что хочется чтобы оно было дописано до конца.
 
C@TДата: Суббота, 19.05.2012, 23:00 | Сообщение # 9
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (xXxSh@dowxXx)
То же самое можно сказать и о попытке удаления каких либо его файлов или ключей реестра во время его работы,без отключения самозащиты и контроля собственных файлов,он не даст вам это сделать,опять же на ум приходит идея отключения самозащиты через хендл процесса,там всего то нужно галочку снять,но с другой стороны,я не думаю что получится вот так просто хендл получить,хотя...


АВ не запрещают открывать и редактировать файл винта (\\.\PHYSICALDRIVE0) , т.е можно спокойно получить доступ к винту, а т.е доступ к всем файлам, остается только узнать адреса кластеров в которых размещен нужный нам файл и потереть данные на винте по этим адресам, в итоге получится что файл существует, но на его месте нули smile

P.S исходники у меня есть, но они на C++, поэтому и не выкладываю здесь
 
Don_DiegoДата: Суббота, 19.05.2012, 23:16 | Сообщение # 10
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
C@T, странно, первый же запрос в гугле выдал http://forum.sources.ru/index.php?showtopic=289284
Надо будет разобраться в этом коде.
 
C@TДата: Суббота, 19.05.2012, 23:57 | Сообщение # 11
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
ну дык по поводу CreateFile на \\.\PHYSICALDRIVE0 и на делфкоде были примеры smile
 
xXxSh@dowxXxДата: Воскресенье, 20.05.2012, 01:29 | Сообщение # 12
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Да исходники с хендлом обязательно постараюсь выложить как дома буду,щас просто на работе,на смене с телефона пишу...

А за идею с затиранием секторов спасибо вам, я даже как то не задумывался на этот счет,буду дома поэксперементирую wink


Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 20.05.2012, 01:33
 
NeoДата: Воскресенье, 20.05.2012, 09:50 | Сообщение # 13
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Аваст тоже валится))))Но лучше этого не делать.После этого он сам не запускается и другой авир не поставишь,т.к по сути стоит уже антивир(вылазит ошибка при установки).А вот если удалить Аваст,то почему-то доступ к инету пропадает.Вот так и сижу теперь без антитваря cool

Сообщение отредактировал Neo - Воскресенье, 20.05.2012, 09:51
 
xXxSh@dowxXxДата: Воскресенье, 20.05.2012, 10:02 | Сообщение # 14
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Neo это ты имеешь ввиду методом затирания секторов если удалить?

а почему бы тогда не вычистить все файлы и ключи реестра, что бы он не выдавал ошибку?

Don_Diego вот в этой теме я выложил исходник работы с треем в делфи, может пригодится

SysTreyInfo


Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 20.05.2012, 10:07
 
Don_DiegoДата: Воскресенье, 20.05.2012, 14:15 | Сообщение # 15
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
xXxSh@dowxXx, именно это я был и нашел, но все равно спасибо! Вопрос как из того получить координаты иконки?
И еще навело на мысль. А не будет ли антивирус подозрительно косится что мы получаем хендлы, наша программа работает скрытно и т.д.? Во всяком случае предлагаю сделать отдельно 2 варианта: "программный" и "графический". Последний кстати почти готов.
 
xXxSh@dowxXxДата: Понедельник, 21.05.2012, 22:01 | Сообщение # 16
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Мда.., последняя версия Каспера действительно палит все что только можно, любой инжект, любую запись ключей в реестре, как и добавление новой службы, в общем похоже ситуация в корне меняется...

Так что если раньше мы старались тихо и без шумно, так сказать без затрагивания самих антивирусов, обходить эвристику, то теперь похоже пора переходить в активное наступление, и с каждым разом шансы на без шумные способы уменьшаются, беремся за тестирование антивирусов на прочность wink

Прошу прощения что немножко не по теме biggrin

Don_Diego кстати на счет отключения монитора, по моему это слишком, мне кажется лучше отключить мышь, что бы пользователь не смог нам помешать, вот кстати нашел для примера лучший исходник из всех вариантов отключения мыши что были найдены мной в google:
Прикрепления: 655464567.rar(6Kb)


Сообщение отредактировал xXxSh@dowxXx - Понедельник, 21.05.2012, 23:32
 
Don_DiegoДата: Вторник, 22.05.2012, 01:31 | Сообщение # 17
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
xXxSh@dowxXx, прошу прощения, но в моем примере мышь и клавиатура и так отключается на время:

Доступно только для пользователей

Думаем как закрывать всякие окошки что вылазят опосля (смотрим видео). Из моих тестов самым трудным антивирусом оказался именно Касперский, поэтому кто заинтересован в этом желательно установить его у себя и проводить над ним опыты biggrin
Что касается монитора - то думаем что мы можем поставить такого чтобы пользователь не заметил таблички с закрытием антивируса? Может быть перед этим скриншот снимать и показывать потом во весь экран??? biggrin Что типа все у нас хорошо )))))) А что мышка 15 секунд не двигалась - ну может засорилась, пыль там попала )))
Или если есть у кого идеи как "программным" методом получить координаты иконки в трее - делимся, не стесняемся rolleyes

PS: про наступление - хорошо сказано! Лучшая защита это - нападение! ©


Сообщение отредактировал Don_Diego - Вторник, 22.05.2012, 01:35
 
xXxSh@dowxXxДата: Вторник, 22.05.2012, 07:01 | Сообщение # 18
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Don_Diego)
BlockInput


это же блокирование не только мыши но и клавы, а вдруг пользователь сидит где нить вконтакте, сообщение печатает biggrin или в ворде или еще где нибудь, может ему клава еще пригодится, зачем же так кардинально, я потому и искал пример с отключением только мышки, не больше не меньше wink

Quote (Don_Diego)
Может быть перед этим скриншот снимать и показывать потом во весь экран???


Так же думал над этим вариантом, но пришел к выводу что это бессмысленно, объясняю:
такой способ, как я себе это представляю, можно сделать лишь растянув прозрачную форму с компонентом Image на весь экран убрав её границы и вставив в него наш скриншот сделанный за пару секунд до этого, и в свойствах формы выстовить поверх всех окон, но если мы так сделаем, то наша мышка уже будет щелкать правой кнопкой не по значку а по нашей форме со скриншотом, и даже если кто то скажет "а можно же оставить панель задач, растянув скриншот не на весь экран а только до панельки, что бы она была активна?", а вот и нет, опять же в таком случае меню касперского станет видимым как и при обычном клике, так что вариант со скриншотом отпадает...

Незнаю как у вас, у меня например, если задержку сделать небольшой то вполне быстро все щелкается и пользователь даже не поймет что у него там мелькнуло в углу экрана, ну да заметно конечно будет что значек пропал biggrin

Еще по поводу мышки, хотел бы предложить на период её деактивации так же скрывать курсор, что бы пользователь даже не увидел куда и зачем она перемещается, а по окончанию вернуть все в исходное...

PS: А вобще, лучше на мой взгляд не пытаться какими то варварскими способами, с помощью перемещения мышки, отключать антивирь через его же менюшку на виду у всех, хотя способ не самый ужасный, и вполне может быть рабочим, а все же поискать баги или другие возможности системного, более менее скрытного отключения, выкладывали же исходники каспера за 2008 год, там наверника движок тот же что и сейчас, дизасмеры если есть на форуме, вполне могут найти где можно переполнение организовать или еще какую бяку в движке, для тех кому по проще, был предложен хороший вариант с удалением файла через сектора диска, можно попробувать, другое дело что придется перезагружаться, так как если я правильно понял в памяти все равно остается работающий процесс, вобщем пробуем...


Сообщение отредактировал xXxSh@dowxXx - Вторник, 22.05.2012, 07:10
 
C@TДата: Среда, 23.05.2012, 16:14 | Сообщение # 19
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Все бы хорошо, идеи с курсором рабочие и может быть актуальны, но поймите бедного юзера, ему будет не интересно смотреть как его комп блочится и курсор ползет выключать антивирус , в последствии чего юзер поймет что у него малварь и очень вероятно что просто переустановит винду smile а теперь представьте реальную ситуацию, у вас есть ботнет, вы хотите хорошо закрепить бота в системе "обезвредить АВ" , но если прогрузить подобного бота юзерам то почти половина из них приймет меры и вы потеряете ботов, т.е получается в эту сторону можно думать только ради забавы smile

Добавлено (23.05.2012, 16:14)
---------------------------------------------

Quote (xXxSh@dowxXx)
так как если я правильно понял в памяти все равно остается работающий процесс, вобщем пробуем...

нет, почему то драйвер АВ слетает тут же когда попортишь его файл, он выдаст сообщение об ошибке и процесс закроется(мой нод реагировал именно так) smile
 
Don_DiegoДата: Среда, 23.05.2012, 16:53 | Сообщение # 20
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
C@T, ты видео смотрел? Советую посмотреть, там выше в посте оно прилагается, и демонстрируется как оно работает. Все происходит практически мгновенно. И если постоянно не следить за правым нижним углом монитора то ничего и не заметишь. Единственное, повторюсь - нужно как-то убирать левые окошки.
А если антивирус не будет запускаться или его попросту не будет, это так же вызовет подозрения что в компьютере что-то не то... Так что не важно каким способом мы его отключаем, главное - отключаем, со всеми вытекающими последствиями.
А этот способ хорош именно для троянов, когда пользователь поймет что что-то случилось, то наш троян уже сделает свое дело.
 
xXxSh@dowxXxДата: Среда, 23.05.2012, 19:26 | Сообщение # 21
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Don_Diego)
А этот способ хорош именно для троянов, когда пользователь поймет что что-то случилось, то наш троян уже сделает свое дело.


Да, именно так, тем более что если нам требуется всего лишь собрать информацию о паролях или тому подобное, даже если пользователь решит переустановить винду, то пока он это будет делать, его пароли все равно уже ушли, так что...

С другой стороны, если мы решаем закрепить в системе бэкдур, или что то подобное, тогда да, если антивирь не будет запускаться, возникнут большие подозрения, исходя из этого, полезнее будет его просто на время выключить, что бы он не кричал при выполнении нашим зверьком самых нехороших действий в системе, как бы грубо это не звучало, я так, образно biggrin


Сообщение отредактировал xXxSh@dowxXx - Среда, 23.05.2012, 19:28
 
xXxSh@dowxXxДата: Вторник, 29.05.2012, 20:55 | Сообщение # 22
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Кстати на счет затирания секторов, затереть то мы затрем, а есть ли способы вернуть обратно те байты на то же место, грубо говоря вернуть потом наш затертый файлик, ведь так было бы гораздо лучше...?!
 
XSPYДата: Вторник, 29.05.2012, 23:55 | Сообщение # 23
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
xXxSh@dowxXx, кури матчасть)) при затирании можно восстановить,но не всегда.
 
xXxSh@dowxXxДата: Среда, 30.05.2012, 09:13 | Сообщение # 24
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Don_Diego вот посмотри тут может что то поможет, я пока пытаюсь с хендлом разобраться...

Иконки в трее

А так же по теме!:

Всякая иконка в трее присобачена в какому либо окну, которому нам и нужно послать сообщение типа WM_ЧевотоТам...

а чтобы окно подумало, что мессага пришла всвязи с иконкой, то нам необходимо выяснить на какие мессаги оно реагирует именно при активности в области иконки, поскольку иконные мессаги - это мессаги, задаваемые относительно WM_USER, то есть приложение может задавать их абсолютные значения, грубо говоря, какими угодно. А саму мессагу (WM_ЧевотоТам) тебе надо слать lParam'ом. Послать клик _абстрактной_ иконке в трее, то есть, иконке неизвестно какого приложения, не получится.

Суть которую я пытаюсь донести заключается в следующем, нам необходимо каким то образом, пока не знаю как, послать иконке "Message.RParam=WM_RBUTTONDOWN" тем самым у нас открывается форма с подпунктами меню типа Выход; Настройки и тп., причем иконка тем самым окажется наверху тут же после вызова подобного сообщения, на случай если она скрыта как в Vista или Win7...

вот полная статья, думаю пригодится:
Иконки в трейбаре? Проще чем кажется


Сообщение отредактировал xXxSh@dowxXx - Среда, 30.05.2012, 09:45
 
xXxSh@dowxXxДата: Суббота, 20.10.2012, 11:04 | Сообщение # 25
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Вобщем после некоторых тестов и испытаний, удалось собрать рабочий вариант с использованием идеи Don_Diego "закрыть ав в трее путем перемещения курсора"...

но к сожалению пока что работает только в WinXP & Vista, с Win7 возникли небольшие трудности.
 
delfcode » Delphi » Вирусология Delphi » Закрыть Антивирус (завершить процесс, удалить ехе)
Страница 1 из 212»
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz