Воскресенье, 17.12.2017, 15:03 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 2 из 2«12
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Закрыть Антивирус (завершить процесс, удалить ехе)
Закрыть Антивирус
Don_DiegoДата: Суббота, 20.10.2012, 12:23 | Сообщение # 26
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
xXxSh@dowxXx, я уже дома. Сегодня вечером можем продолжить поковырять. Я займусь этими "трудностями", не переживай cool
 
NeoДата: Пятница, 04.01.2013, 07:35 | Сообщение # 27
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Ну так-как тема интересная,я покажу как я затираю исполняемый файл антивируса по его кластерам.Модуль для работы на низком уровне с файловой системой я нашёл где-то в инете.Дописал только подпрограммы CopySam и CopySystem.Скажу сразу,таким способом можно не только убивать антивирусы,но и копировать файлы
винды SAM/SYSTEM (ну вы знаете что за эти файла,так ведь?)А ещё вы можете спакойно защитить курсовую по Организации ЭВМ.Да,там есть тема получения цепочки кластеров заданного файла в файловой системе NTFS))))Единственное,что это будет работать только на XP,но не на 7.Так как была история,что таким способом хакеры пиали свой код в файл подкачки,а оттуда этот код попадал а ОЗУ.Или брали внедрялись в процесс нужной проги,в цикле выделяли память,например GetMemом,пока память не выгрузится в файл подкачки,потом открывали этот файл и правили данные.После такого программа уже работала "как надо".А дяденьки из Microsoft разозлились и вообще заблокировали открывать \\.\PHYSICALDRIVE0 для неразмеченных дисков.
Ну вот сам модуль:
Доступно только для пользователей
P.S Хотя зачем получать цепочку кластеров файлов sam/system,используя небольшую кучу API функций,тратить столько нервов,если можно сделать так
P.P.S это была шутка,интересно о чём думал тот чувак?)))))
 
dolphinДата: Воскресенье, 06.01.2013, 15:24 | Сообщение # 28
Администратор
Сообщений: 902
Статус: Offline
Neo, у меня почему то не работает, deviceiocontrol выдает false

Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
Волк-1024Дата: Воскресенье, 06.01.2013, 16:32 | Сообщение # 29
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
На Windows 7 x64 при попытке открыть файл SAM. Фейлится CreateFile и функция начинает что-то постоянно копировать. Так за пару секунд она накопировала что-то аж на 1ГБ!!! Копирование файлов по кластерам работает отлично (писать куда-то не рискнул ))) ), но ооочень медленно. Например GUI'шник NOD'а копировался 4 минуты. Несмотря на мой I5 2500K. Хотя возможно это возможно из-за медленного харда? Или... Кода... biggrin

Pascal, C\C++, Assembler, Python
 
virusik85Дата: Понедельник, 07.01.2013, 12:23 | Сообщение # 30
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
Записал видео как можно убить kaspersky

После перезагрузки kis не запустится.

Качество видео плохое так что кто не знает есть настройка
http://tau.rghost.ru/42704307/image.png

http://www.youtube.com/watch?feature=player_embedded&v=X9r-zVgdwy4
 
Don_DiegoДата: Понедельник, 07.01.2013, 13:29 | Сообщение # 31
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 251
Статус: Offline
virusik85, ты напиши название той утилиты
 
virusik85Дата: Понедельник, 07.01.2013, 13:44 | Сообщение # 32
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
gmer и malware defender
 
XSPYДата: Вторник, 08.01.2013, 00:47 | Сообщение # 33
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
virusik85, о боже...и тут ты появился biggrin кинь уже батник людям))))

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
xXxSh@dowxXxДата: Вторник, 08.01.2013, 14:41 | Сообщение # 34
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
что за бред вобще, каким это образом gmer.exe удаляет avp.exe в корневой папке антивируса?, если только у Каспера не отключена самозащита!

Добавлено:

ах вот оно что, ну тогда все понятно smile

gmer.exe пытается установить свой драйвер, после чего прописывает все нужные ему параметры через реестр, и уже через него пытается прибить неприбиваемое)

у меня Каспер на каждое его действие и четные попытки орал, так что либо у тебя в момент записи видео эвристика не работала должным образом, либо установи более новую версию Каспера и все у тебя будет нормально, ибо Каспер да же на мой старый троян который я когда то писал и то меньше реагировал чем на действия gmer'a biggrin


Сообщение отредактировал xXxSh@dowxXx - Вторник, 08.01.2013, 14:56
 
virusik85Дата: Вторник, 08.01.2013, 15:06 | Сообщение # 35
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
xXxSh@dowxXx тестировал на последней версии, всё в нём включено, я проверял на моих троянах, может ты что то не так делал или версия старая (там чуть по другому проактивка себя ведёт ) , каким образом ты питался через gmer убить каспера ? и он не удаляет avp.exe

XSPY biggrin


Сообщение отредактировал virusik85 - Вторник, 08.01.2013, 15:17
 
xXxSh@dowxXxДата: Вторник, 08.01.2013, 16:00 | Сообщение # 36
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата (virusik85)
каким образом ты питался через gmer убить каспера ? и он не удаляет avp.exe

таким же образом что и у тебя на видео, через батник:
gmer.exe -del file "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe"

следовательно он удаляет файлы avp.exe после чего ты вручную убиваешь оставшиеся процессы и естественно каспер после этого уже больше не может запуститься wink

Цитата (virusik85)
может ты что то не так делал или версия старая

делал все точно по твоему видео, один в один, версия Kaspersky IS 13.0.1.4190
только что проверил на сайте - это 100% последняя версия!

PS: Вобще это все демагогия и обсуждать можно долго, единственный вопрос который у меня возник, каким образом это поможет закрыть АВ на удаленном компьютере?


Сообщение отредактировал xXxSh@dowxXx - Вторник, 08.01.2013, 16:12
 
virusik85Дата: Воскресенье, 13.01.2013, 14:13 | Сообщение # 37
Частый гость
Зарегистрирован: 10.11.2012
Группа: Пользователи
Сообщений: 27
Статус: Offline
xXxSh@dowxXx скинь мне уже gmer и батник smile проверил уже 100500 раз в разных условиях, не блокирует
 
xXxSh@dowxXxДата: Воскресенье, 13.01.2013, 19:18 | Сообщение # 38
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Вот держи:
Прикрепления: gmer.rar(348Kb)
 
VolfДата: Суббота, 13.04.2013, 13:29 | Сообщение # 39
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
Я отключаю АВ вот так.

Фишка в том что АВ можно приостановить на время или убить вообще.
При запуске скрипта он не сможет сканировать файлы на вирусы,после перезагрузки компа АВ вообще не запускается.
На видео пример с Доктором вебом.
P.S. Сразу говорю,это не перехват АПИ,как вы подумаете после просмотра видео


Сообщение отредактировал Volf - Суббота, 13.04.2013, 13:31
 
xXxSh@dowxXxДата: Суббота, 13.04.2013, 22:20 | Сообщение # 40
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата (Volf)
Я отключаю АВ вот так

Интересно конечно, позволишь взглянуть на код?
можешь не добавлять на форум, напиши в пм или еще куда.


Сообщение отредактировал xXxSh@dowxXx - Суббота, 13.04.2013, 22:21
 
NeoДата: Воскресенье, 14.04.2013, 08:55 | Сообщение # 41
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Volf,
у меня почему-то сразу сложилось впечатление,что ты что-то в реестре прописал.Твоя прога точно все АВ вырубает?


Сообщение отредактировал Neo - Воскресенье, 14.04.2013, 08:56
 
xXxSh@dowxXxДата: Воскресенье, 14.04.2013, 11:47 | Сообщение # 42
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата (Neo)
у меня почему-то сразу сложилось впечатление,что ты что-то в реестре прописал

конечно можно попробовать повторить эксперимент, тем более что на видео показано только отключение сканирования файлов, да и к тому же не факт что отключив сканирование файлов через explorer, юзер не сможет воспользоваться сканированием напрямую из панели АВ, но через реестр отключить любой АВ точно не получится.


Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 14.04.2013, 11:50
 
VolfДата: Воскресенье, 14.04.2013, 12:44 | Сообщение # 43
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
Neo тестировал на авасте и на доктор веб
xXxSh@dowxXx я же написал что после перезагрузки антивирус не запускается.да и до перезагрузки уже перестает реагировать на все изменения как сетевые так и файловые.запускал не криптованный пинч)
Цитата (xXxSh@dowxXx)
но через реестр отключить любой АВ точно не получится.

тут ты не прав)Все что ты делаешь вносит изменения в реестр,даже создание папки и тд.так что не профессионально говорить что через реестре не получиться что либо сделать.в реестре можно ВСЕ,нужно просто знать как это "ВСЕ" сделать
xXxSh@dowxXx В пм я тебе писал на счет бага,спишемся по асе или жабе
p.s. Прежде чем что то написать,я долгое время это изучаю.)


Сообщение отредактировал Volf - Воскресенье, 14.04.2013, 12:51
 
xXxSh@dowxXxДата: Воскресенье, 14.04.2013, 14:53 | Сообщение # 44
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата (Volf)
тут ты не прав)Все что ты делаешь вносит изменения в реестр,даже создание папки и тд.так что не профессионально говорить что через реестре не получиться что либо сделать.в реестре можно ВСЕ,нужно просто знать как это "ВСЕ" сделать

с одной стороны это так, а с другой, я имел ввиду тот факт что многие АВ контролируют любые правки своих ключей, и других данных как в реестре, так и в системных папках, через уже запущенные службы и процессы, знаю что можно найти баги в работе АВ, например в обработке какого нибудь не контролируемого ключа реестра, или файла, и при определенных манипуляциях АВ просто перестанет адекватно реагировать, но большая часть ранее найденных багов уже была исправлена (имеется ввиду конкретно АВ Каспер), может быть я многого не знаю, в таком случае буду очень признателен если кто нибудь меня просветит в новых знаниях wink
 
delfcode » Delphi » Вирусология Delphi » Закрыть Антивирус (завершить процесс, удалить ехе)
Страница 2 из 2«12
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz