Ликвидация антивирусов
 

Приветствую всех вирусописателей. У меня возникла мысль создать тему о способах устранения работоспособности антивирусов. В этой теме будем рассматривать как можно устранить такую функция антивируса как обнаружение вирусов. Желательно так чтобы антивирь визуально работал, но не обнаружал. Учитываются такие способы как удаление каких-либо файлов, замена файлов антивируса, обработка файлов вшитым кодом и т.п.
рассматриваются следующие антивирусы: Dr.Web, NOD 32, Avast, антивирус Касперского. У каго есть знания на эту тему пожалуйста выкладывайте. И при ответе указывайте версию антивиря. :D

P.S. И попрошу не постить тему пустыми сообщениями. :(

Ммм... Криптование?
В нормальных современных аверах стоит проверка на модификацию и прочее. Заколебешься обходить.

Читай про Ring 0.

Что то мне подсказывает что ни одного дельного совета здесь не будет -
GivioN то что ты просишь это наш ХЛЕБ, а поскольку его мало и все мы голодны то делиться им никто не собирается :-)

GivioN Попробуй скачать криптор в разделе про крипторы. Это тебе даст ->
Т.е. обрабатывается сам вирус, а не антивирус! :) А обрабатывать\портить антивирус слишком не универсально...

Если тебя просто интересует обход антивирусов а не модификация с целью отключения работоспособности, то тебе действительно нужно копать в сторону криптования тела вирусов, если речь идет о сигнатурном анализе, или снятие перехвата с системных функций и таблицы сервисов, если нужен обход проактивной защиты
+читай про методы ухода из под отладки, Seh, Veh, антидамп и т.п. и.т.д.

Удачи!

Самым лучшим методом обхода антивирусов является работа в r0, но для написания того, что нужно тебе метод копи паст уже несовсем катит, придется пошевелить своим мозгом, в качестве примера можно посмотреть статьи Ms-Rem'а, единственный недостаток это то, что писать надо на сях, можно конечно и на Delphi, но информации по написанию кода для работы в r0, особо ненайдеш, опять же кроме статей Ms-Rem'а и примера на рсдн невстречал.
Если кто знает где еще можно почитать о работе в r0 на delphi, буду рад увидеть ссылочки.
Второй способ это внедрение в доверенное приложение, ну о этом способе написано очень много, но все паблик методы палятся антивирями, так что тут придется тоже подумать собственными извилинами.
Еще оодин способ это замена системных файлов на свои, об этом методе я вообще молчу.
О реальных способах обхода антивирусов и фаерволов, специалисты стараются помалкивать, т.к. это ихний хлеб, как кто то тут уже писал.
Ну если конечно какойнить добрый дядька хотябы намекнет, где можно более конкретно и подробно почитать, о таких фишках буду рад ну, а если нет так нет, будим дальше грызть гранит, в поисках способов ставящих антивирусы и фаеры в позу зю ;) :D
з.ы. все эти маневры нужны в основном для прописания проги в автозапуске и скрытной отправки файлов.

Нет. Криптование как известно только скрывает виря(изменяет сигнатуру), но никак не устраняет функциональность аверя.(это является ответом троим выше перечислинным участникам темы)

Первый раз слышу... Но всё таки обойти реально.

А мне кажется этот способ очень даже профессиональный.

Так что будем работать....

Реально!!!
Да нефига он непрофессиональный, опытный юзверь сразу поймет, что что то не то когда увидит как у него вылетел антивирь после запуска твоего файла, нужно делать так чтобы у юзверя оставалось впечатление полной защищенности ;), а так представь массово рассылаеш свой файлик из 10 ламеров нашелся 1 супер юзверь, который приметил чет неладное(отрубание авера после запуска файла) и все амба накрылся твой способ медным тазом, да и сам вирь тож, т.к. с большой долей вероятности этот файл попадет в антивирусную контору, да и файлик уже твой никто нескачает и не запустит, придется опять чет новое мастерить.
мда печально, что наши работы никто никогда не увидит и не узнает, что это зделал именно ты или я или еще кто то, хотя со временем может и появятся, когда способы станут неактуальны :d ;)

это вообще не антивирусы :) хотя с вэбом могут быть проблемы.
криптуем, как уже тут советовали

Почитай Криса Касперски, он много чего написал на эту тему, правда со стороны защиты антивируса, в часности:

• *что-то совсем не найду - название статьи не соответсвует содержанию, внутри статьи с безобидным названием кроются гениальные идеи*
• Ввод в код незначимых "сложных" инструкций - SSE/MMX - по словам Криса, антивири их вообще не переваривают и встретив пропускают проверку. Желательно бы использовать много разных в зависимости какие может поддерживать процессор, а если ничего не может - то лажа - нам подсунули виртуальную машину антивируса и нужно просто "красиво" отработать и завершится. <-- Я бы именно на это обратил очень много внимания.. использовал бы всякие DirectX 9/10, Open GL навороченные функции , недокументированные но безобидные API - пусть виртуальная машина антивиря захлебнятся - с таким кодом вирус выловят нескоро - по крайней мере на много дольше ему будет жить чем обычному.
• Бронижелет для файрвола (Xakep январь)
  Это сдесь или в других статьях описывается что можно файрлом/антивирем управлять как скрипты управляют приложениями - т.е. появилось окошко "кряк - удалить/пропустить" - вирь его скрывает и сам нажимает. Правда он должен был запустится перед этим, поэтому необходимо писать два "виря" - один - тело которое только скрывает окошко "кря" - другой выполняет наш вредоносный код. Также можно себя добавить в исключения, а как только юзверь посмотрить исключения - убрать себя от туда :)
• Есть отличная статья про руткиты, там описан принцып действия руткита который невозможно выследить, но он убивался после перезагрузки + довольно сложно написать
• В одной статье он упомянул о вирусах которые скрываются от файлома и регмона - на самом деле - просто модифицируют их память - на предмет вывода данных.

Также могут помочь:

• Изменяем запретное - Подделка CRC16/32 - Крис Касперски
• Страница 30 Февральского хакера (не много, но кое-что можно злебнуть)
• Сырые сокеты (ХР, Крис Касперски) (Х январь) - нет про "скрытость" от антивируса - но, возможно, понадобится Х программе, а DDoS боту и подавно. (не пингами же валить ;))
• Интернет из нулевого кольца: программируем сеть в ядре Windows - X - Александр Эккерт - не знаю не читал

Собственные идеи и комментарии выделил жирным.

З.Ы. Вот если бы все такие темы были бы на ачате, я бы сдесь и днем и ночью пропадал, а то одни игрушки.. (пинчи, крипторы,... - разве для ХАКЕРА это не игрушки? не более)

С каким антивирем и могут быть проблемы так это с каспером если врубить всю защиту на полную, то обойти можно только помощью r0 или внедрения в доверенную прогу, ну может еще какой способ, который никто не выложит в паблик.
Крипт неспасает от одного, от проактивной защиты, т.к. записать прогу в автозапуск хоть при супер продвинутом крипте файла вируса уже не получится стандартными методами, так что криптор был и будет являться приятным дополнением к самому вирусу затрудняющим его изучение и обнаружение, ну это конечно актульно для серьезных вирусов(троянов для обнуления виртуальных кошельков, для полного постоянного контроля компов юзверов, ну и т.д. и т.п. ), а для кражи понравившейся аси или каких либо др. мелочей(на которых тож можно поднять баблосов) сойдут и обычные паблик вирусы предварительно закриптованные, если что то неустраивает в них, то без особого труда можно написать вирус, который будет удовлетворять тебя на все 100%, но первым его недостатком будет то что он будет запускаться только 1 раз на компе жертвы(как правило этого достаточно в некоторых случаях :) ), а 2 его минус в том, что если у юзверя стоит фаервол(стандартный виндозный неактуален), то тут подстерегает облом т.к. отчеты с файлами нефига к тебе не дойдут!!!

Слушай Глоффа он дело говорит и еще купи с него криптор(сам не юзал,но говорят хороший). Не морочь себе голову, каждый день новые антивирусы выходят - не уследишь :) -не спортивно :)

Вся фишка в том, что критор не спасает от проактивки!!!
а антивирусы конечно же не палят криптованых вирусов? :)
Со временем и такой вариант палится, а если вирусняк написан с нуля(да даже чуток модифицированный) то его и без криптовки ни 1 авер палить не будет!!!

У меня антивирь вырубает обычный ксинч. Но вырубает только визуально , он остается в системе , но не может обрабатывать файлы.

да, если говорить в контексте серьезных троев, руткитов
то тут проактивные технологии встают на пути
незабываем что многие фаерволы сейчас оборудованы HIPS

касаемо проактивки Дяди Жени я тут 8 версию смотрел,
так ее можно просто удалить из системы незаметно для юзера. софт для этого есть в паблике

ну и что я со своим троем буду таскать постоянно ксинч? ;)
Это как то не по хацкерски получается, использовать то, что зделали другие любой может, а вот поди сам нарой какойнить способ да еще и напиши грамотный код.

GivioN ты hidden, TAHA отпиши они вэтом деле секут хорошо..

Жертва даже и не поймет что её аверь работает в холостую.

зачем так усложнять?!! можно этот самый вредоносный код внедрить в наш вирус, при запуске которого обработает аверя. Да и потом, мы не расмотриваем способ скрытия вируса криптором, как уже говорилось, проактивка палит его. Поэтому актуальный способ будет ликвидация аверя. Это даст нам 100% скрытие в любых системных поцессах, которые выполнит вирь. А криптор можно использовать чтоб первоночально запустить виря...

GivioN, и то верно, но разве антивирус когда "спалит" наш вирус не "заморозит" процесс?, тогда скрывать окно с сообщением "кря" будет некому.

LynXzp, согласен. Поэтому твой способ про кряк безперспективный. Нужно искать альтернативный вариант, более простой, более профессиональный...

Чем разбиратся в чужом коде, легче зделать свой не так ли?
Из этого следует что можно отрубить реальный антивирь и эмулировать его работу (выводить иконку в трэй, а на кликание юзера например сообщение о том что антивирь сейчас слишком занят и вы не имеете доступа к функциям) пока человек поймёт в чем прикол уже и отработает наш код, вот только это всё равно одноразовый метод. Думаю если подумать можно найти немало способов, но самым гемморным всё равно является отключение антивиря или инклуд в его код посколько в современных антивирях зделано все чтоб помешать этому (начиная с проверки целостности кода, заканчивая запретом на удаления файлов в директории ).

GivioN - про кряк? ..

!_filin_! - ну я написал как Крис Касперски предложил не внедрятся в код и отключать - "ловить" появление окошка. (Хотя я не знаю как "ловить" - ловушку на какую-нибудь API? Ждать появления окна и скрывать его? А вдруг оно успеет показатся прежде скрытия? Тут много вопросов..)

А сделать такой же интерфейс не так уж сложно, хотя их стали наворачивать.. такое рогатое чудо ни в какие килобайты не влезет..


Вот статья по теме - особо не вникал - беззнаний ассемблера мало что там можно смотреть - похоже тут модификация вируса чтобы пройти сканет.

http://www.xakep.ru/post/43474/?xa_subscribe_267

ловить окошки касппера неполучится, это раньше такой трюк прокатывал, а ща уже нет!!!
"http://www.xakep.ru/post/43474/?xa_subscribe_267"
Ща вот попробовал метод автора этой статьи и чет нефига он не пашет, проактивка каспера палит, хотя хз ща на работе пока, время особо нету вникать че там и как приду домой еще разок посмотрю мож чето гдето нетак накатал. ;)

Проактивку KIS и Outpost можно обойти RPolyCrypt'ом...
ИМХО: Если подумать как сделать, чтобы был вид что авер весит в трее... думаю всё возможно (с КИСом точно не прокатит)...знаю что через реестр можно сделать, чтоб нужная программа оттображалась в трее или наоборот... Нужна программа которая проверяет какой авер установлен в системе...и затем сразу-же после идентификации, отрубала процесс работающего авера, и запускала "фейк" с иконкой авера в трее... который был установлен в системе...такием образом юзверь ничего не заподозрит...вирус/трой пропишется в авторане, и после перезагрузки авер сново будет работь в нормальном режиме... Вопрос в другом...уверен что за просто так, никто писать программу-идентефикатор аверов не будет...Хотя бывают и "Робин Гуды" :)

забейте на этот бред. иконки в треи, тыканье по кнопочкам, фейки и тд...

От простого к сложному...
Давайте пока рассмотрим способ удаление файлов обновления аверя.
NOD32 v.2.72, его папка ESET в ней удаление директории updfiles приведет к снижению его эффективности. На многие вирусы он даже не пискнет.
А как же с остальными?

на самом деле разницы никакой, этот антивирус и так слепой как крот

Зато NOD32 после SendMessage(,WM_CLOSE,,)
закрывает все.

И даже Version 3.X ???

Если это вопрос, то не знаю, пробовал на 2.7.

Но вы можете сами попробовать получить название окна через FindWindow и послать сообщение WM_CLOSE

0verbreaK Ну это понятно. Было известно, что 2.7 легко выгрузить.
А вот как щас дела с 3.0 ??? Я думал вы проверяли. :)

Сейчас скачал ESET NOD32 Smart Security для Windows, с оф. сайта, начал установку - выдал ошибку

Если у кого, стоит чтото подобное проверьте, его по средством следуещего кода: