Сразу вспомнился всеми любимый wasm:
Обход Outpost Firewall 3.x и 4.0 в Kernel mode
Также у меня где-то на диске был материал, если что будет - кину.

iv., спс. буду разбираться )

Народ, а вот я юзал очень простенький код который запросто обходил почти все фаеры. Все пахало на стандартном инжекте.
НО инжект происходил еще до запуска авира.
Суть метода такова:
1) Прога устанавливает себя как сервис (и написана как сервис).
2) делает зависимость Rpc от своего сервиса. Тем самым при загрузке винды менеджер сервисов выстраивает зависимости сервисов и тем самым получается что наша прога зупускается раньше всех.
3) Делается инжект в какойнить системный процес.
4) Сама протом сидит тихо в озу ничего не делая (это нужно для того чтобы Rpc не сдох), а код заинжектеный спокойно выполняет свои действия.

Метод просто, но есть одни баги: 1 и 2 шаги могут спалиться авирами.

с зонеаларм такое не прокатит

а вообще желательно снять хуки с пары фунок,
глянь SDTrestore-0.2 она с сырками...

wasm.ru
closed