Zabicie AV

[piko94]

Witam.

Ostatnio wpadłem na taki pomysł ale nie wiem czy jest to wykonalne.

Pomyślałem sobie że można stworzyć plik *bat który wyłączy av po czym dopiero wysłać ofierze zainfekowany plik.

Lecz niewiem czy jest to możliwe aby stworzyć jeden plik *bat który będzie wyłączał każdego AV.

Liczę na szybką odpowiedź.

A jeśli jest to możliwe to również chciałbym kod do takiego pliku bo nie mam pojęcia jak to zrobić :/ .

Pozdrawiam NMN



ps. Jeżeli zły dział proszę o przeniesienie.

 

[grzonu]

nie nie zrobisz tego.
Wylaczysz kilka najprostrzych. Ale co lepszy AV ma ochrone przed zabiciem procesu. W przypadku niektorych bez sterownika go nie zabijesz.

Zmien nazwe tematu

 

[piko94]

Dzięki Grzonu to muszę jakoś inaczej kombinować.

Tak właśnie zauważyłem że procesy lepszych av są chronione.


Pozdrawiam.


Temat do zamknięcia

 

[Legalnl]

nie zamykajcie go

proponuje wklejać tutaj swoje pomysły na temat

//edit: tzn na temat jak by ktoś zmienił go na odpowiadający trescią postu

np cp by zrobić jak zamiast explorer.exe uruchomic program, ktory usunąłby plik wykonywalny antywirusa, a dopiero potem uruchomił explorera. chodzi mi oczywiscie ostart systemu po logowaniu, wydaje mi się ze NOD32 uruchamia się po powloce explorer.exe

 

[Khalt]

legaln, jeśli to było pytanie jak to zrobić, to:
Wystarczy, że w rejestrze pod adresem HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell zmienimy na plik batch, który: Usuwa plik wykonywalny AV, a później - odpala explorer.exe.
I też mi się zdaje, że explorer.exe uruchamia się przed AV .

 

[grzonu]

Obie to są uslugi i moga sie uruchamiac roznie, ale np. KAV uruchamia sie jeszcze przed nim(w okienku zapraszamy juz skanuje).
Pozatym sterownik NOD`a jest zaladowany jeszcze przed jego procesem.
Ludzie musicie zrozumiec ze AV to nie jest tylko plik exe ktory nad wszystkim czuwa, to sa sterowniki ktore zakladaja hooki, a exe mozna powiedziec jest tylko koordynatorem dzialan. Bez niego nie bedzie dzialal prawidlowo ale i nie jest tak prosto go zabic wbrew pozorom.
Uchwyt mozna zdobyc np. z procesu crsss.exe ale AV moze z tamtad go tez usunac. Oczywiscie ze da sie zabic procesy AV ale nie zrobicie tego za pomoca pliku .bat

@khalt najpierw musisz ten wpis podmienic... myslisz ze AV nie zauwazy takiego czegos ?

//EDIT
Zabijanie procesu AV nie jest dobrym pomyslem bo AV przeskanuje cie zanim uruchomisz plik.
Zabijanie FW ma wiekszy sens bo on sprawdza dzialania na bierzaco. Ale lepszym wyjsciem jest FW-bypass.
Swoj ruch sieciowy mozna np. ukrywac w zadaniach DNS ktore AV puszczaja.
Mozna kozystac z procesow ktore maja juz od FW pozwolenie(CreateRemoteThread i jazda).
Mozna probowac kozystac z innych mozliwosci polaczenia z internetem a nie tylko standardowo przez sockety(np. TDI / NDIS ) wszystko zalezy od FW.
Nie mniej jednak zabicie czy to AV czy FW jest dosc głosne dla usera.

//EDIT2
zmienilem nazwe tematu bo inaczej musialbym go usunac

 

[Legalnl]

no ja wiem ze AV to nie tylko exe. ale... kąbinowałem kiedyś zeby wykonać poleceni delete jeszcze przed zaladowanie systemu, a po zaladowaniu boisa (w windowsie98 byl to plik autoexec.bat), w XP jakoś nie znalazłęm odpowiedzi na to pytanie. owszem AV wykryje podmiane ale... zawsze mzona pwoiedzec ze przed insalacja gry czy cracka lepiej niech wylaczy jezeli chce pograc, albo znam ludzi co wylaczaja skanery jak id ą grac w gry, ponieważ na grze jest napisane ze lebiej wylaczyc xD

 

[piko94]

Ale ofiary nie zawsze są takie głupie

.


Znalazłem jeden sposób na oszukanie Av bez edycji kodu źródłowego ale niestety po formacie już mi się to nie udaje.

Jakby ktoś mógł zobaczyć na ten temat który został napisany przeze mnie lecz nie dostałem żadnej odpowiedzi.


http://www.haker.com.pl/Zmiejszanie-wykryw...usa-t45680.html