Ликвидация антивирусов
 

Приветствую всех вирусописателей. У меня возникла мысль создать тему о способах устранения работоспособности антивирусов. В этой теме будем рассматривать как можно устранить такую функция антивируса как обнаружение вирусов. Желательно так чтобы антивирь визуально работал, но не обнаружал. Учитываются такие способы как удаление каких-либо файлов, замена файлов антивируса, обработка файлов вшитым кодом и т.п.
рассматриваются следующие антивирусы: Dr.Web, NOD 32, Avast, антивирус Касперского. У каго есть знания на эту тему пожалуйста выкладывайте. И при ответе указывайте версию антивиря. :D

P.S. И попрошу не постить тему пустыми сообщениями. :(

Ммм... Криптование?
В нормальных современных аверах стоит проверка на модификацию и прочее. Заколебешься обходить.

Читай про Ring 0.

Что то мне подсказывает что ни одного дельного совета здесь не будет -
GivioN то что ты просишь это наш ХЛЕБ, а поскольку его мало и все мы голодны то делиться им никто не собирается :-)

GivioN Попробуй скачать криптор в разделе про крипторы. Это тебе даст ->
Т.е. обрабатывается сам вирус, а не антивирус! :) А обрабатывать\портить антивирус слишком не универсально...

Если тебя просто интересует обход антивирусов а не модификация с целью отключения работоспособности, то тебе действительно нужно копать в сторону криптования тела вирусов, если речь идет о сигнатурном анализе, или снятие перехвата с системных функций и таблицы сервисов, если нужен обход проактивной защиты
+читай про методы ухода из под отладки, Seh, Veh, антидамп и т.п. и.т.д.

Удачи!

Самым лучшим методом обхода антивирусов является работа в r0, но для написания того, что нужно тебе метод копи паст уже несовсем катит, придется пошевелить своим мозгом, в качестве примера можно посмотреть статьи Ms-Rem'а, единственный недостаток это то, что писать надо на сях, можно конечно и на Delphi, но информации по написанию кода для работы в r0, особо ненайдеш, опять же кроме статей Ms-Rem'а и примера на рсдн невстречал.
Если кто знает где еще можно почитать о работе в r0 на delphi, буду рад увидеть ссылочки.
Второй способ это внедрение в доверенное приложение, ну о этом способе написано очень много, но все паблик методы палятся антивирями, так что тут придется тоже подумать собственными извилинами.
Еще оодин способ это замена системных файлов на свои, об этом методе я вообще молчу.
О реальных способах обхода антивирусов и фаерволов, специалисты стараются помалкивать, т.к. это ихний хлеб, как кто то тут уже писал.
Ну если конечно какойнить добрый дядька хотябы намекнет, где можно более конкретно и подробно почитать, о таких фишках буду рад ну, а если нет так нет, будим дальше грызть гранит, в поисках способов ставящих антивирусы и фаеры в позу зю ;) :D
з.ы. все эти маневры нужны в основном для прописания проги в автозапуске и скрытной отправки файлов.

Нет. Криптование как известно только скрывает виря(изменяет сигнатуру), но никак не устраняет функциональность аверя.(это является ответом троим выше перечислинным участникам темы)

Первый раз слышу... Но всё таки обойти реально.

А мне кажется этот способ очень даже профессиональный.

Так что будем работать....

Реально!!!
Да нефига он непрофессиональный, опытный юзверь сразу поймет, что что то не то когда увидит как у него вылетел антивирь после запуска твоего файла, нужно делать так чтобы у юзверя оставалось впечатление полной защищенности ;), а так представь массово рассылаеш свой файлик из 10 ламеров нашелся 1 супер юзверь, который приметил чет неладное(отрубание авера после запуска файла) и все амба накрылся твой способ медным тазом, да и сам вирь тож, т.к. с большой долей вероятности этот файл попадет в антивирусную контору, да и файлик уже твой никто нескачает и не запустит, придется опять чет новое мастерить.
мда печально, что наши работы никто никогда не увидит и не узнает, что это зделал именно ты или я или еще кто то, хотя со временем может и появятся, когда способы станут неактуальны :d ;)

это вообще не антивирусы :) хотя с вэбом могут быть проблемы.
криптуем, как уже тут советовали

Почитай Криса Касперски, он много чего написал на эту тему, правда со стороны защиты антивируса, в часности:

• *что-то совсем не найду - название статьи не соответсвует содержанию, внутри статьи с безобидным названием кроются гениальные идеи*
• Ввод в код незначимых "сложных" инструкций - SSE/MMX - по словам Криса, антивири их вообще не переваривают и встретив пропускают проверку. Желательно бы использовать много разных в зависимости какие может поддерживать процессор, а если ничего не может - то лажа - нам подсунули виртуальную машину антивируса и нужно просто "красиво" отработать и завершится. <-- Я бы именно на это обратил очень много внимания.. использовал бы всякие DirectX 9/10, Open GL навороченные функции , недокументированные но безобидные API - пусть виртуальная машина антивиря захлебнятся - с таким кодом вирус выловят нескоро - по крайней мере на много дольше ему будет жить чем обычному.
• Бронижелет для файрвола (Xakep январь)
  Это сдесь или в других статьях описывается что можно файрлом/антивирем управлять как скрипты управляют приложениями - т.е. появилось окошко "кряк - удалить/пропустить" - вирь его скрывает и сам нажимает. Правда он должен был запустится перед этим, поэтому необходимо писать два "виря" - один - тело которое только скрывает окошко "кря" - другой выполняет наш вредоносный код. Также можно себя добавить в исключения, а как только юзверь посмотрить исключения - убрать себя от туда :)
• Есть отличная статья про руткиты, там описан принцып действия руткита который невозможно выследить, но он убивался после перезагрузки + довольно сложно написать
• В одной статье он упомянул о вирусах которые скрываются от файлома и регмона - на самом деле - просто модифицируют их память - на предмет вывода данных.

Также могут помочь:

• Изменяем запретное - Подделка CRC16/32 - Крис Касперски
• Страница 30 Февральского хакера (не много, но кое-что можно злебнуть)
• Сырые сокеты (ХР, Крис Касперски) (Х январь) - нет про "скрытость" от антивируса - но, возможно, понадобится Х программе, а DDoS боту и подавно. (не пингами же валить ;))
• Интернет из нулевого кольца: программируем сеть в ядре Windows - X - Александр Эккерт - не знаю не читал

Собственные идеи и комментарии выделил жирным.

З.Ы. Вот если бы все такие темы были бы на ачате, я бы сдесь и днем и ночью пропадал, а то одни игрушки.. (пинчи, крипторы,... - разве для ХАКЕРА это не игрушки? не более)