Ломаем антивирусы


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Прога немного не для этой темы,но всё же.Убивает и не даёт запуститься добропорядочным тулзам.
1.gif
Вес билда на скрине 17 кб.
Пасс на архив:111
 

Вложения

  • Новая папка.rar
    93.8 КБ · Просмотры: 14

denis7656

The Dark Side
Форумчанин
Регистрация
25.06.2014
Сообщения
81
Репутация
195
Думаю что с дрвэбом не прокатит, там прикольная тема стоит (защита). Насколько я понял там ваще жесткач... Вроде как подмена ПИД'a основного защищаемого процесса (не путать с чем-то другим, в нашем случае - PID - Process ID). Полагаю, что сделано путем обработки через драйвер хука на функцию получения PID.
По поводу этой проги.
Такие тулзы обычно обычно по имени окна проги или имени EXE вычисляют его ПИД и потом его гасят через API. Что-то типа

Вам нужно авторизоваться, чтобы просмотреть содержимое.

или


Но вроде читал что есть и способы намного изощреннее и интереснее для завершения процесса, что-то типа инжекта своей HELL.dll в адресное пространство жертвы. Плюс способ для защиты своей проги с помощью создания своей мини проактивки на завершение процесса (написание драйвера) типо хуки на нужные нам действия.
Кода в нете полно, прогу выше написать самому - минут пять.
А так эта туза маст хэв, тем более что билд весит ваще копейки... Хотя может быть стаб еще и от мусора почистить и потогм пакануть можно. Надо было VT'шку на стаб прикрепить, интересно глянуть.
Кстати есть у кого какая инфа про подмену PID'a ?
У меня есть но совсем немного с сорцами, времени разбираться с ними особо не было (кому надо обращайтесь в личку)
Сорри за небольшой оффтоп...
Кстати пишут что Вазонеза закрыли, кто-то пишет что его жестоко отфигачили ( ).
Только сегодня об этом прочитал, думал почему проект UFR'a заморожен или помер, а тут такие новости, есть ли реальная инфа о нем ?
А вот за 'a ( ) я рад. Давненько не видел его сайт в рабочем состоянии после после изъятия его сервера спецслужбами и закрытия его ресурса.
 
Последнее редактирование:

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Кстати пишут что Вазонеза закрыли, кто-то пишет что его жестоко отфигачили ( ).
Пост за 2012 год.А Вазонез жив и здоров.Недавно UFR стилера в массы (чтобы форум нормально отображался нужно авторизироваться).
Мне понравился пост за 12 год на том форуме насчёт пропажи Вазгена)Цитирую пользователя Grondor:
Я предпочел рассмотреть несколько вариантов:
1. Он шифруется, то есть, по идее если он вышел через три недели, то те кто желают ему мести начнут гуглить типа: сбила машина три недели, избили три недели. По этому он может ждет
2. Уехал в отпуск
3. Он здох
Надо было VT'шку на стаб прикрепить, интересно глянуть.
2/34

На VT лить не стал.По хэшу поискал-нет пока там такого файла.
 

denis7656

The Dark Side
Форумчанин
Регистрация
25.06.2014
Сообщения
81
Репутация
195
2/34

На VT лить не стал.По хэшу поискал-нет пока там такого файла.
Ну да, я это и имел ввиду (знал что ты поймешь), сам туда только погань впариваемую мне лично там проверяю, свои и норм файлы не для паба тестирую на факаве.

Ого, я про сорцы УФРа даже и не знал, качнул, вечером приду, запилю чтоб с хрома нормально тянул, модуль есть. Большое спасибо за линк на сорс, а то я как-то проморгал, а ведь в пабе уже больше месяца.
Да и ваще еще много чего планирую туда приколотить, а лишнее убрать.
Я так понимаю что скин на AlphaControls сделан, особо пока не смотрел, вечером приеду буду разбираться.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 177
Репутация
8 313
Мне понравился пост за 12 год на том форуме насчёт пропажи Вазгена)Цитирую пользователя Grondor:
Ну-там пипл грамотный в основном обитает и приободрить могут хорошо...Dmeh-Smeh-Smeh!!!

Исходник кстати и здесь тоже есть:https://ru-sfera.pw/threads/ufr-stealer-opensource-isxodnik.2087/

А так я думаю ничего страшного с Вазонезом не случилось, просто видно надоело и решил на всё это забить, ну или может занят сильно...Отдыхай!!!
 

denis7656

The Dark Side
Форумчанин
Регистрация
25.06.2014
Сообщения
81
Репутация
195
Ну-там пипл грамотный в основном обитает и приободрить могут хорошо...Dmeh-Smeh-Smeh!!!
И слоупоков и малолеток недалеких, судя по комментам это точно...

Исходник кстати и здесь тоже есть:https://ru-sfera.pw/threads/ufr-stealer-opensource-isxodnik.2087/
О, спасибо, ща ветку почитаю, не видел ее.

А так я думаю ничего страшного с Вазонезом не случилось, просто видно надоело и решил на всё это забить, ну или может занят сильно...Отдыхай!!!
Да, тоже думаю что забил на проект или лень стало или занят другими, раз решил запаблить сорцы.
 
В

Ванесса

Гость
Этот текст скопипастила с рат-клаб


Этот метод может убить почти любой антивирус. Работает только на х86.
Для примера автор взял последнюю версию kaspersky internet security 2016, самозащита включена , задал дополнительно пароль чтобы параметры касперского нельзя было изменить.
Качаем программу Gmer
Рядом ложим батник со скриптом
Код:
@echo off
gmer.exe -del file "Путь к основному процессу ав"
gmer.exe -reboot

Запускаем bat. Готово.
Примечание: Если собрать эти два файла в один exe то может сработать проактивка, но это касперского не спасет, его процесс формально удален уже когда срабатывает проактивка, осталось только перезагрузить пк и касперский убит.
Видео:

Официальный сайт gmer:
Сканирование файла gmer:
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Screenshot - 23.01.2017 - 02:34:34.png

Информация старая, но может кому любопытно будет взглянуть
Anti-AV compilation


kernelmode, где были описаны методы атак, походу поломался.
Дополнительная инфа ниже:


ProxyInject атака
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.

PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.

Duplicate Handle атака
Суть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объекта описателя открытого процесса. В итоге, это может привести к полной компрометации процессов антивируса либо к инжектированию в них вредоносного кода.

RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.

Shim engine атака
Блокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.

Reparse-Point атака
Блокирование функционала антивирусного ПО через открытие на защищаемой директории NTFS-потока и установку точки повторной обработки.
 
Верх Низ