• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Криптор для вируса

Anildail

Участник
Сообщения
68
Реакции
31
0 руб.
Ага, уже. Завершить процесс антивируса штатными средствами едва ли удастся. Во-первых, у тебя может и не быть прав админа, а значит и отладочных привилегий для открытия процесса (получения его описателя с нужными атрибутами). Во-вторых, антивирусы юзают различные защитные техники, раньше они хукали API в ядре, теперь с Вин7 ядро такую функциональность уже предоставляет и так, и хукать ничего не надо. Плюс антивирус может запускать не один процесс, но и загружать драйвера, которые лочат функциональность (частично), если валится Гуи.
Просто самое уязвимое место любого ав это его драйверы без них он работать не станет и в теории если мы получим права систем то срубив дрова мы срубим антивирь. Разве не так?
 

ARCHANGEL

Участник
Сообщения
27
Реакции
81
0 руб.
Telegram
Просто самое уязвимое место любого ав это его драйверы без них он работать не станет и в теории если мы получим права систем то срубив дрова мы срубим антивирь. Разве не так?

Хех, а ты - весёлый парень. Будто это так просто )
 

Anildail

Участник
Сообщения
68
Реакции
31
0 руб.
Хех, а ты - весёлый парень. Будто это так просто )
Конечно не просто) Согласен это разговор долгий но при таком расскладе как описал я такое разве не возможно?
 

Anildail

Участник
Сообщения
68
Реакции
31
0 руб.

ARCHANGEL

Участник
Сообщения
27
Реакции
81
0 руб.
Telegram
Мы говорили о повышении привелегий и убийстве драйверов такое возможно?

Возможно, "убийство" драйверов - непонятный для меня термин, но смысловая нагрузка всего сообщения ясна. Если бы только так оно и работало, то малварь бы уже давно победили ) На самом деле, антивирус живёт своей жизнью, а малварь - своей, и это - самый частый сценарий.
 

ARCHANGEL

Участник
Сообщения
27
Реакции
81
0 руб.
Telegram
От имени СИСТЕМЫ можно многое что делать, не путать с админправами

На самом деле, разница не особо большая. Но этого всего недостаточно, чтобы завершить процесс антивируса.
 

Anildail

Участник
Сообщения
68
Реакции
31
0 руб.
АВ убивать я не пробовал, но в мете есть специальный модуль
post/windows/manage/killav

его актуальность так же не проверял
Об этом я и говорил) Я тестировал на достаточно простеньком антивире и с правами системы у меня получилось его убить. C дровами я не пробывал но тут и так понятно что от системы ты можешь делать что хочешь) Просто тут проблема действительно в повышении превелегий на не обновленных os это делается без проблем средствами мета а вот на пропатченых ос возникают проблемы)
 

Anildail

Участник
Сообщения
68
Реакции
31
0 руб.
Возможно, "убийство" драйверов - непонятный для меня термин, но смысловая нагрузка всего сообщения ясна. Если бы только так оно и работало, то малварь бы уже давно победили ) На самом деле, антивирус живёт своей жизнью, а малварь - своей, и это - самый частый сценарий.
Возможно в плане затраченых усилий это и так) Легче написать скрытный троян который будет тихо красть пароли с системы чем возится с убийством антивиря(кстати если антивирь перестанет работать это может заметить пользователь а это не всегда гуд) Но всё-таки тема интересная и мне хотелось бы её продолжить если ты в этом разбираешься то обоснуй почему "этого не достаточно" для убийства ав? А то разговор выглядит незаконченым и больше похож на (почему нельзя? - ДА ПОТОМУ!)
 
Сверху Снизу