Ломаем антивирусы


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
Читайте как работает php, реальный код находится на сервере, а когда пользователь запрашивает страницу, сервер преобразовывает код в html страничку, поэтому реальный код пользователям недоступен, это сделанно для безопасности, то что ты увидел в инспекторе, это всего-лишь преобразованный HTML код, также кстати работает и этот форум ! ;)

Это я по простому объяснил, в реальности всё гораздо сложнее, там и база данных есть и ещё много чего !
 
B

BioNIX

Гость
X-Shar, Ну как розыгрыш сделать можно, что на халяву получил голоса, и что ВК сломано, это расшириться очень быстро по рунету, и будут просто голову ломать как это получилось, а на счет того, что там не дураки, само собой, там их много головастиков сидит и бдит безопасность ВК, малый себе хотел бота поставить, и поставил вымогателя ВК, активация учетной записи, сегодня ему чистил днем ноут, тоже юный хацкер, исправил хост файл и из папки Роаминг почистил несколько файлов и в самой папке виндовс два фейка нашел, как почистил изменил ему пароль к аку на ВК, теперь уже не тренируется, а он вчера увидел эту шутку и повелся на нее, только утром сказал что не может зайти в контакте, и с утра ему делал лечение ноута, в общей сложности 6 штук вирусов он ботом занес, теперь сказал все, не будет заниматься такими вещами.
 
B

BioNIX

Гость
Это я по простому объяснил, в реальности всё гораздо сложнее, там и база данных есть и ещё много чего !
Да это я в курсе, давно увлекаюсь этим инспектором, просто иногда хочется поковыряться в таких вещах для себя.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
Ладно давайте теперь по теме, вот хочу продемонстрировать взлом Outpost Security Suite 8.1 при помощи уязвимости в драйвере Sandbox.dll:

Данная атака называется отказ в обслуживание, а ошибка "Переполнение буфера", т.е. программисты не учли вероятность записи программы за предел адресного пространства памяти, очень распространённая ошибка и в результате программа аварийно завершает работу ! like it

Итак в архиве исходник с бинарником на си (Пароль:111), если интересно можете посмотреть код, более подробней !

Вот демо ролик: http://ru-sfera.pw/flv/win7.swf

ВАЖНО:Для ознакомления и не используйте это во зло, к тому-же большая вероятность, что уже профиксили ! ;)
 

Вложения

  • KillOutpost.rar
    26.9 КБ · Просмотры: 15

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Killer Malwarebytes v1.[Matabarras]
14 апреля файл палился только 4 движками...
Снимок.JPG
Пасс:Matabarras
 

Вложения

  • 1397445595723.rar
    165.5 КБ · Просмотры: 11

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Тихая деинсталяция АВ.
Данный способ работает на множестве других АВ (все не проверялись), здесь приведу лишь пример тихой деинсталляции последнего NOD32. Если кому интересно, может продолжить список.

Итак, открываем в реестре ключ:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Находим подключ:
Код:
{0D343FFE-2FDD-45E3-92B4-159D4FE6F4D5} Это GUID NOD32.
Формируем коммандную строку на тихую деинсталляцию АВ (для просмотра всех поддерживаемых свитчей, просто запускаем msiexec):
Код:
MsiExec.exe /x {0D343FFE-2FDD-45E3-92B4-159D4FE6F4D5} /quiet /norestart NOD32
использует Windows Installer, как и многие другие, но даже если АВ использует свой инсталлер, вероятность того, что в нем есть поддержка тихой деинсталляции очень велика.
Для того, чтобы найти свитчи в кастомных инсталлерах, запускаем деинсталлятор, смотрим командную строку, например через Process Explorer, далее ищем свитчи в нужном модуле, это можно сделать либо при помощи olly, либо утилитой textscan (от analogx), либо утилитой strings (от sysinternals).
После деинсталляции, АВ может остаться в полностью рабочем режиме, до перезагрузки.
ДрВеб при деинсталляции показывает капчу, это пока единственный мне известный АВ у которого есть защита от данного вида "атаки".

Вынос Outpost Security Suite Pro 9.1 (4643.690.1951) одной строчкой
Код:
"%ProgramFiles%\Agnitum\Outpost Security Suite Pro\unins000.exe" /VERYSILENT /SUPPRESSMSGBOXES /NORESTART
Через несколько секунд фаер полностью выпиливается, завершаются все процессы и удаляются файлы.

Ещё немного подробностей можете прочитать в .​
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 122
Репутация
8 238
Интересный способ, попробую !

Но это если АВ незащищен паролем...

Можно ещё взамен удалённого АВ делать его фейк...Dmeh-Smeh-Smeh!!!
 

denis7656

The Dark Side
Форумчанин
Регистрация
25.06.2014
Сообщения
81
Репутация
195
Антоха, а че сорца нет ?

а то аттач умер в оригинале на форуме ( ) ссыль крякнула=(
Можно в принципе через мониторы глянуть что он делает.
 
Последнее редактирование:

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Антоха, а че сорца нет ?
А хрен его знает.Что-то я тогда проморгал.Сейчас смотрю в моём источнике линк тоже помер.Этот sendspace-гиблое дело.

 

denis7656

The Dark Side
Форумчанин
Регистрация
25.06.2014
Сообщения
81
Репутация
195
Этот sendspace-гиблое дело.
И не говори, уже давно все стараюсь закачивать мультиапплоадеры типа
хотя с ними тоже геморы бывают. Давно хотел свою файлопомойку замутить, скриптов норм мало, но уже качнул и раздекубрил от ионки, на локалхосте побаловался, а вот чтоб реал замутить - руки никак не дойдут. Просто главарь нашего провайдера мой кореш, предлагал свою стойку серванта у них поставить, но смысл есть если на рекламе зарабатывать а я в этой теме олух. Причем сейчас и абузоустойчивый сервант в Китае копейки стоит. Эх... Жаль что у меня не сто рук Думки думаю!!!
 
Верх Низ