Jak zabić zabezpieczony proce

[buzek]

Witam
Czy jest jakiś sposób aby przez CMD zabić zabezpieczony proces który normalnie zwraca komunikat "odmowa dostępu"?
Chodzi mi o zabicie antywirusa (Avast lub inny)

 

[Bercik]

Zgaduję, że właściciel procesu to SYSTEM, czyli to usługa systemowa. Można ją zatrzymać w przystawce services.msc

 

[buzek]

a przez CMD nieda sie jakoś tego zrobic?

 

[grzonu]

jak mniemam próbujesz napisac jakis skrypt ktory bedzie zabijał AV.
Lepiej skozystaj np. z czegos podobnego do programiku na moim blogu
http://grzonu.com.pl/2009/10/07/niekonwencjonalna-metoda-zabijania-procesu/

Wszystko zalezy od tego jak jest zabezpieczony proces czy przez np. jest zalozony hook na TerminateProcess czy nie mozna otworzyc procesu czy poprostu nie masz uprawnien.

 

[buzek]

Niestety trochę nie mam pojęcia jak to wykorzystać
Tak próbuje zabić AV na komputerze do którego mam dostęp jedynie z CMD

 

[Bercik]

Sprawdź jak się nazywa usługa tego antywirusa i w cmd:
net stop "nazwa usługi"

 

[buzek]

dzięki
a może jest jakaś komenda na wyświetlenie w CMD listy usług?

 

[Legalnl]

Zapoznaj się z poleceniem

SC /?

które daje duzo większe możliwości niż sieciowy NET. Do wyswietlenia usług użyj

SC QUERY

Ponieważ nie zmieszczą Ci się wszystkie usługi w oknie CMD to najlepiej zapisz je do pliku wpisując komende

SC QUERY >> plik.txt

i potem wczytaj je do cmd poleceniem

EDIT

które uruchomi edytor tekstu w cmd. potem juz sobie poradzisz. zatrzymywanie usług takze lepiej zrobić poprzez

SC STOP nazwa_uslugi

nazwa usługi kryje sie pod SERVICE_NAME

 

[buzek]

Dzieki wielkie
niestety ani SC ani NET nie potrafi zatrzymac 2 antywirusów

kaspersky przy SC zwraca błąd: :

SC STOP "AVP"

[SC] OpenService NIEPOWODZENIE 5:
Odmowa dostępu.

a NET

Net stop "AVP"

"Żądane wstrzymanie, kontynuowanie lub zatrzymanie nie jest prawidłowe dla tej usługi."

Avast przy SC:

SC STOP "avast! Antivirus"

[SC] ControlService FAILED 1052:

a przy NET:

net stop "avast! Antivirus"
"Żądane wstrzymanie, kontynuowanie lub zatrzymanie nie jest prawidłowe dla tej usługi."

 

[Legalnl]

oczywiście ze w SC nie wyłączysz procesu antywirusa bo to było by za łatwe. jaki byłby sens tworzenia antywirusów, skoro można by je wyłączyć byle czym. z antywirusami jest tak jak mówił Grzonu, i bez większej wiedzy tego nie wyłączysz

za to powiem Ci ze mozna wyłączyć proces zapory systemu Windows. bez problemu wyłącza się takze centrum zabezpieczeń (nie wiem po co robili tego firewalla itp)

 

[Bercik]

A spróbuj jeszcze użyć tego polecenia w połączeniu z runas i uruchom go jako proces SYSTEM. Nigdy nie sprawdzałem, czy się da, ale - warto spróbować.

 

[buzek]

a jak je połączyć

 

[NetTry]

Chciałbym podczepić się pod temat, a mianowicie pod komendę SC.
Też spotyka mnie odmowa dostępu niezależnie od typu sformułowania komendy np. "SC CREATE NVG path=....." jak i "SC STOP....".

Mój problem dokładniej opisany jest pod adresem:
http://www.haker.com.pl/showthread.php?t=19039

Myślę, że obaj mamy jakieś ograniczenia na koncie.

 

[g3t_d0wn]

W Windows operuje się na tokenach procesów czyli ich poziomem dostępu. Zanim będziesz dobierał się do procesu z wyższym tokenem przypuśćmy funkcją TerminateProcess system sprawdza tokeny obydwóch procesów przed tą operacją jeżeli twój proces nie ma odpowiedniego tokenu do procesu to się wysypie. Aby zdobyć taki token musisz zmienić go swojemu procesowi, a do tego są już funkcje Windowsowego API, pierwszym krokiem do tego (o ile dobrze pamiętam) było otwarcie procesu z odpowiednimi flagami(przy których są wyjątki co do tokenów procesów) i skopiowanie tokenu.