Zabijanie procesu antywirusa "avast!"

[josh4vi]

Witam. wiem że było już dużo tego typu tematów lecz nie znalazłem w tych które przeglądałem odpowiedzi na mój problem. Nie mogę sobie poradzić z zabiciem procesów Avastu. Próbowałem w delphi tym kodem:

var

 PHandle, FHandle : THandle;

 Process : TProcessEntry32;

 Done, Next : Boolean;

 EXE : String;

begin

 EXE := Edit1.Text;

FHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

 Process.dwSize := Sizeof(Process);

 Next := Process32First(FHandle,Process);

while Next do

begin

 if AnsiLowerCase(Process.szExeFile) = AnsiLowerCase(EXE) then

begin

PHandle:=OpenProcess(PROCESS_TERMINATE, False,

Process.th32ProcessID);

Done := TerminateProcess(PHandle,0);

if not Done then

MessageBox(Handle, 'Błąd', 'Błąd', MB_OK);

end;

Next := Process32Next(FHandle,Process);

end;

CloseHandle(FHandle);

end;

i jak próbuję zabić jeden z procesów Avasta to wyskakuje mi messagebox "błąd".
Próbowałem również w cmd:

net stop "avast! Antivirus"

ale wtedy avast się pyta czy na pewno chcę wyłączyć wszystkie osłony. Potrzebuję sposobu wyłączenia avastu po kryjomu. Najlepiej żeby kod był w delphi. Z góry dziękuję i proszę o szybką odpowiedź.

josh4vi

 

[DanoPlurana]

Podbije temat, moze komus przyszedl jakis pomysl, a sam szukam odpowiedzi dokladnie na to samo pytanie

 

[PanFader]

To wcale nie jest takie łatwe.
Co to byłby za anty wirus , którego można wyłączyć przez CMD.
Oni pierwsze muszą go dobrze zabezpieczyć , lecz myślę że są jakieś sposoby...

 

[josh4vi]

To wcale nie jest takie łatwe.
Co to byłby za anty wirus , którego można wyłączyć przez CMD.
Oni pierwsze muszą go dobrze zabezpieczyć , lecz myślę że są jakieś sposoby...

no właśnie o to chodzi. Chciałbym poznać jeden z tych "jakichś sposobów".

 

[DanoPlurana]

Mi chodzi o cos jeszcze bardziej szczegolowego... ;D Jeden ze sposobów: Przepelnienie bufora programu tak aby windows zablokowal jego wykonywanie, no fajnie zrób to teraz

Pzdr

 

[ProQix]

dojebać się do ramu i zapełnić go zerami ;] to raczej da się zrobić ale asemblerem, sposobów jest dużo ale ich wykonanie już trudniejsze jest, można by zobaczyć czy dało by się go zastopować (Cheat Engine ma taką funkcję). We może ma jakies komendy wew. bo antywirus to nie jeden exe tylko kilak komunikujące się ze sobą

 

[DanoPlurana]

No Cheat Enginem sadze ze gdyby dobrac sie do adresow moznaby cos pokombinowac, zafreezowac, ewentualnie scrashowac ;D ale nam raczej chodzi i zastopowanie go zdalnie, w sensie przez skompilowanie jakiegos skryptu w C# delphi pascalu czy whatever tak aby po odpaleniu zabijal avasta, z tego co widze po osobach pojawiajacych sie w moim Racie, coraz wiecej ludzi go uzywa, a potrafi byc naprawde upierdliwy, i co jak co ale bazy aktualizuja dosc szybko i wykrywalnosc tez niezla ;/ A w dodatku kusi ze darmowy... Nie no trzeba cos ogarnac zeby mozna go bylo zabijac zdalnie, chlopaki help

Pzdr

 

[ProQix]

jest taki skurwiel co blokuje bazy sygnatur wirków oczywiście kaspersky sobie radzi ale avast już nie ;]
powiem że pracowałem kiedyś nad nim ale zrezygnowałem (przez olly dbugger) wiem że bloczył połączenia na ip z serwerami baz danych więc antywirusa się nie dało pobrać z neta a nawet niektórych zainstalować... wiem że kontrolował bezpośrednio sterowniki kart sieciowych... co do avasta to byl okres ze na klienta tibi wył... jak bym proponował pobawić się z frameworkam tak jak ten Duqu http://hacking.pl/wiadomosci/16868/wiemy-w-czym-napisano-duqu/

 

[josh4vi]

a jest jakaś możliwość zdalnego wyłączenia wybranych osłon avastu, oraz wył. firewalla systemowego?

 

[DanoPlurana]

systemowy firewall, jak rowniez UAC mozna latwo wylaczyc (w zasadzie wiekszosc trojanow i crypterow ma ta funkcje, jak poszukasz to mysle ze spokojnie znajdziesz skrypcik jakis) gorzej z Avastem

 

[josh4vi]

nom bo właśnie o to chodzi, że ja jestem zupełnie zielony co do frameworków i tego czego użyli zaawansowani hakerzy, którzy napisali duqu. Prosiłbym ew. o jakieś linki do sprawdzonych kursów lub kodów. chciałbym użyć jak najprostszych metod.

 

[DanoPlurana]

Zalezy jaki program chcesz ukryc przed firewallem/Uacem. Najprostsza metoda to wstrzyknac sie do procesu systemowego explorer.exe, winlogon.exe itp itp. Takie procesy wiekszosc firewalli i systemowe zapory puszczaja wolno

 

[josh4vi]

a zarzuciłbyś jakimś poradnikiem o wstrzykiwaniu kodu? Jeszcze jest kwestia antywirka. Z tego co wiem to wykrywa on próby wstrzyknięcia kodu do procesu. Myślałem, żeby użyć Rootkita HxDef ale avast wykrywa go już podczas pobierania z neta...

 

[DanoPlurana]

mowiac wstrzykiwanie mialem na mysli iniekcje jednego procesu w drugi, standardowo trojany i dużo crypterow/binderow ma tą funkcje dostepna. Wtedy zmniejszasz prawdopodobienstwo ze Windowsowa zapora wykryje śmieć w systemowym procesie

Pzdr

 

[VR8]

Myślałem, żeby użyć Rootkita HxDef ale avast wykrywa go już podczas pobierania z neta...

Od tego jest crypter

 

[josh4vi]

http://haker.com.pl/threads/16734-Astaroth-Crypter
VR8 poleciłbyś jakiś crypter? bo tu link nie działa :///