Криптор для вируса

[Anildail]

Ага, уже. Завершить процесс антивируса штатными средствами едва ли удастся. Во-первых, у тебя может и не быть прав админа, а значит и отладочных привилегий для открытия процесса (получения его описателя с нужными атрибутами). Во-вторых, антивирусы юзают различные защитные техники, раньше они хукали API в ядре, теперь с Вин7 ядро такую функциональность уже предоставляет и так, и хукать ничего не надо. Плюс антивирус может запускать не один процесс, но и загружать драйвера, которые лочат функциональность (частично), если валится Гуи.

Просто самое уязвимое место любого ав это его драйверы без них он работать не станет и в теории если мы получим права систем то срубив дрова мы срубим антивирь. Разве не так?

 

[ARCHANGEL]

Просто самое уязвимое место любого ав это его драйверы без них он работать не станет и в теории если мы получим права систем то срубив дрова мы срубим антивирь. Разве не так?

Хех, а ты - весёлый парень. Будто это так просто )

 

[Anildail]

Хех, а ты - весёлый парень. Будто это так просто )

Конечно не просто) Согласен это разговор долгий но при таком расскладе как описал я такое разве не возможно?

 

[ARCHANGEL]

В тему о долгих разговорах

 

[Anildail]

В тему о долгих разговорах

Спасибо) Имею нак диске но немогу не как начать читать)

 

[Anildail]

В тему о долгих разговорах

Я когда-то интересовался этим вопросом) Знатока из себя не строю но всё таки хочу поставить точку нас чёт ав

 

[ARCHANGEL]

Я когда-то интересовался этим вопросом) Знатока из себя не строю но всё таки хочу поставить точку нас чёт ав

В каком смысле точку?

 

[Anildail]

В каком смысле точку?

Мы говорили о повышении привелегий и убийстве драйверов такое возможно?

 

[ARCHANGEL]

Мы говорили о повышении привелегий и убийстве драйверов такое возможно?

Возможно, "убийство" драйверов - непонятный для меня термин, но смысловая нагрузка всего сообщения ясна. Если бы только так оно и работало, то малварь бы уже давно победили ) На самом деле, антивирус живёт своей жизнью, а малварь - своей, и это - самый частый сценарий.

 

[ARCHANGEL]

От имени СИСТЕМЫ можно многое что делать, не путать с админправами

На самом деле, разница не особо большая. Но этого всего недостаточно, чтобы завершить процесс антивируса.

 

[Anildail]

АВ убивать я не пробовал, но в мете есть специальный модуль
post/windows/manage/killav

его актуальность так же не проверял

Об этом я и говорил) Я тестировал на достаточно простеньком антивире и с правами системы у меня получилось его убить. C дровами я не пробывал но тут и так понятно что от системы ты можешь делать что хочешь) Просто тут проблема действительно в повышении превелегий на не обновленных os это делается без проблем средствами мета а вот на пропатченых ос возникают проблемы)

 

[Anildail]

Возможно, "убийство" драйверов - непонятный для меня термин, но смысловая нагрузка всего сообщения ясна. Если бы только так оно и работало, то малварь бы уже давно победили ) На самом деле, антивирус живёт своей жизнью, а малварь - своей, и это - самый частый сценарий.

Возможно в плане затраченых усилий это и так) Легче написать скрытный троян который будет тихо красть пароли с системы чем возится с убийством антивиря(кстати если антивирь перестанет работать это может заметить пользователь а это не всегда гуд) Но всё-таки тема интересная и мне хотелось бы её продолжить если ты в этом разбираешься то обоснуй почему "этого не достаточно" для убийства ав? А то разговор выглядит незаконченым и больше похож на (почему нельзя? - ДА ПОТОМУ!)

 

[Greyfox]

Мужики, думаю мне просто надо выспаться, голова не варит нихрена. Да еще и второй час ночи.

Решил как нибудь свой вопрос7

 

[Tishe]

Решил как нибудь свой вопрос7

Он еще спит ? ?

 

[химера]

Он еще спит ? ?

судя по датам создания(2018 г) он не еще спит а ушел в зимовку сосать лапу)))