завершить процесс антивируса
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
завершить процесс антивируса - 2010-09-05 18:02:05.290000
|
|
|
greefoman
Сообщений: 3
Оценки: 0
Присоединился: 2010-05-23 01:10:20.020000
|
Всем привет! Скажите как можно завершить процесс антивирусника?7
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 18:32:02.940000
|
|
|
SkaYneT
Сообщений: 43
Оценки: 0
Присоединился: 2007-07-27 13:11:06.706666
|
вобщето это сложновато, так как любой антивирус перехватывает NtOpenProcess и не дает открыть собсный процес
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 18:35:37.233333
|
|
|
greefoman
Сообщений: 3
Оценки: 0
Присоединился: 2010-05-23 01:10:20.020000
|
Не ужели вабще нет никаких способов??
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 18:38:57.006666
|
|
|
SkaYneT
Сообщений: 43
Оценки: 0
Присоединился: 2007-07-27 13:11:06.706666
|
есть, но надо лезть глубоко в ядро
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 18:41:16.926666
|
|
|
greefoman
Сообщений: 3
Оценки: 0
Присоединился: 2010-05-23 01:10:20.020000
|
Можешь дать исходник??
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 18:45:36.406666
|
|
|
SkaYneT
Сообщений: 43
Оценки: 0
Присоединился: 2007-07-27 13:11:06.706666
|
борзый школьник
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 18:57:31.723333
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Какой антивирус? Вам с такими знаниями рано этим заниматься.
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 22:12:14.753333
|
|
|
SkaYneT
Сообщений: 43
Оценки: 0
Присоединился: 2007-07-27 13:11:06.706666
|
2greefoman:
вот тебе небольшой, но очень эффективный прием:
1. устанавливаем нотификатор PsSetCreateProcessNotifyRoutine и при каждом создании процеса у нас будет его id
2. в NotifyRoutine вызываем PsLookupProcessByProcessId, в параметрах передаем id из нотификатора, и получеам указатель на EPROCESS
3. из EPROCESS получаем имя процеса
4. сравниваем его с именем антивируса, и если вернет true, то ZwOpenProcess->ZwTerminateProcess->ZwClose
PS. работает даже если установлены перехваты на NtOpenProcess
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 23:01:34.536666
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
quote:
ORIGINAL: SkaYneT
2greefoman:
вот тебе небольшой, но очень эффективный прием:
1. устанавливаем нотификатор PsSetCreateProcessNotifyRoutine и при каждом создании процеса у нас будет его id
2. в NotifyRoutine вызываем PsLookupProcessByProcessId, в параметрах передаем id из нотификатора, и получеам указатель на EPROCESS
3. из EPROCESS получаем имя процеса
4. сравниваем его с именем антивируса, и если вернет true, то ZwOpenProcess->ZwTerminateProcess->ZwClose
PS. работает даже если установлены перехваты на NtOpenProcess
Т.е. антивирус загрузится позже малвари? С чего бы это? Думаю похуканая драйвером ssdt не даст так просто убить процесс антивируса.
|
|
|
|
|
RE: завершить процесс антивируса - 2010-09-05 23:11:00.383333
|
|
|
SkaYneT
Сообщений: 43
Оценки: 0
Присоединился: 2007-07-27 13:11:06.706666
|
2Sunzer:
да ты прав, код писался писался ради интереса. да и автор наверное нихрена не понял
|
|
|
|
|
|
