Ломаем антивирусы
- Автор темы X-Shar
- Дата начала
- Регистрация
- 25.06.2014
- Сообщения
- 81
- Репутация
Думаю что с дрвэбом не прокатит, там прикольная тема стоит (защита). Насколько я понял там ваще жесткач... Вроде как подмена ПИД'a основного защищаемого процесса (не путать с чем-то другим, в нашем случае - PID - Process ID). Полагаю, что сделано путем обработки через драйвер хука на функцию получения PID.
По поводу этой проги.
Такие тулзы обычно обычно по имени окна проги или имени EXE вычисляют его ПИД и потом его гасят через API. Что-то типа
или
Но вроде читал что есть и способы намного изощреннее и интереснее для завершения процесса, что-то типа инжекта своей HELL.dll в адресное пространство жертвы. Плюс способ для защиты своей проги с помощью создания своей мини проактивки на завершение процесса (написание драйвера) типо хуки на нужные нам действия.
Кода в нете полно, прогу выше написать самому - минут пять.
А так эта туза маст хэв, тем более что билд весит ваще копейки... Хотя может быть стаб еще и от мусора почистить и потогм пакануть можно. Надо было VT'шку на стаб прикрепить, интересно глянуть.
Кстати есть у кого какая инфа про подмену PID'a ?
У меня есть но совсем немного с сорцами, времени разбираться с ними особо не было (кому надо обращайтесь в личку)
Сорри за небольшой оффтоп...
Кстати пишут что Вазонеза закрыли, кто-то пишет что его жестоко отфигачили (
Только сегодня об этом прочитал, думал почему проект UFR'a заморожен или помер, а тут такие новости, есть ли реальная инфа о нем ?
А вот за
По поводу этой проги.
Такие тулзы обычно обычно по имени окна проги или имени EXE вычисляют его ПИД и потом его гасят через API. Что-то типа
или
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Но вроде читал что есть и способы намного изощреннее и интереснее для завершения процесса, что-то типа инжекта своей HELL.dll в адресное пространство жертвы. Плюс способ для защиты своей проги с помощью создания своей мини проактивки на завершение процесса (написание драйвера) типо хуки на нужные нам действия.
Кода в нете полно, прогу выше написать самому - минут пять.
А так эта туза маст хэв, тем более что билд весит ваще копейки... Хотя может быть стаб еще и от мусора почистить и потогм пакануть можно. Надо было VT'шку на стаб прикрепить, интересно глянуть.
Кстати есть у кого какая инфа про подмену PID'a ?
У меня есть но совсем немного с сорцами, времени разбираться с ними особо не было (кому надо обращайтесь в личку)
Сорри за небольшой оффтоп...
Кстати пишут что Вазонеза закрыли, кто-то пишет что его жестоко отфигачили (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
).Только сегодня об этом прочитал, думал почему проект UFR'a заморожен или помер, а тут такие новости, есть ли реальная инфа о нем ?
А вот за
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
'a (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
) я рад. Давненько не видел его сайт в рабочем состоянии после после изъятия его сервера спецслужбами и закрытия его ресурса.
Последнее редактирование:
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Пост за 2012 год.А Вазонез жив и здоров.Недавно
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
UFR стилера в массы (чтобы форум нормально отображался нужно авторизироваться).Мне понравился пост за 12 год на том форуме насчёт пропажи Вазгена)Цитирую пользователя Grondor:
Я предпочел рассмотреть несколько вариантов:
1. Он шифруется, то есть, по идее если он вышел через три недели, то те кто желают ему мести начнут гуглить типа: сбила машина три недели, избили три недели. По этому он может ждет
2. Уехал в отпуск
3. Он здох
2/34
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
На VT лить не стал.По хэшу поискал-нет пока там такого файла.
- Регистрация
- 25.06.2014
- Сообщения
- 81
- Репутация
Ну да, я это и имел ввиду (знал что ты поймешь), сам туда только погань впариваемую мне лично там проверяю, свои и норм файлы не для паба тестирую на факаве.
Ого, я про сорцы УФРа даже и не знал, качнул, вечером приду, запилю чтоб с хрома нормально тянул, модуль есть. Большое спасибо за линк на сорс, а то я как-то проморгал, а ведь в пабе уже больше месяца.
Да и ваще еще много чего планирую туда приколотить, а лишнее убрать.
Я так понимаю что скин на AlphaControls сделан, особо пока не смотрел, вечером приеду буду разбираться.
- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Ну-там пипл грамотный в основном обитает и приободрить могут хорошо...
Исходник кстати и здесь тоже есть:https://ru-sphere.ru/threads/ufr-stealer-opensource-isxodnik.2087/
А так я думаю ничего страшного с Вазонезом не случилось, просто видно надоело и решил на всё это забить, ну или может занят сильно...
- Регистрация
- 25.06.2014
- Сообщения
- 81
- Репутация
И слоупоков и малолеток недалеких, судя по комментам это точно...Ну-там пипл грамотный в основном обитает и приободрить могут хорошо...
О, спасибо, ща ветку почитаю, не видел ее.
Да, тоже думаю что забил на проект или лень стало или занят другими, раз решил запаблить сорцы.А так я думаю ничего страшного с Вазонезом не случилось, просто видно надоело и решил на всё это забить, ну или может занят сильно...
В
Ванесса
Гость
Этот текст скопипастила с рат-клаб
Этот метод может убить почти любой антивирус. Работает только на х86.
Для примера автор взял последнюю версию kaspersky internet security 2016, самозащита включена , задал дополнительно пароль чтобы параметры касперского нельзя было изменить.
Качаем программу Gmer
Рядом ложим батник со скриптом
Запускаем bat. Готово.
Примечание: Если собрать эти два файла в один exe то может сработать проактивка, но это касперского не спасет, его процесс формально удален уже когда срабатывает проактивка, осталось только перезагрузить пк и касперский убит.
Видео:
Официальный сайт gmer:
Сканирование файла gmer:
Этот метод может убить почти любой антивирус. Работает только на х86.
Для примера автор взял последнюю версию kaspersky internet security 2016, самозащита включена , задал дополнительно пароль чтобы параметры касперского нельзя было изменить.
Качаем программу Gmer
Рядом ложим батник со скриптом
Код:
@echo off
gmer.exe -del file "Путь к основному процессу ав"
gmer.exe -rebootЗапускаем bat. Готово.
Примечание: Если собрать эти два файла в один exe то может сработать проактивка, но это касперского не спасет, его процесс формально удален уже когда срабатывает проактивка, осталось только перезагрузить пк и касперский убит.
Видео:
Официальный сайт gmer:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Сканирование файла gmer:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Информация старая, но может кому любопытно будет взглянуть
Anti-AV compilation
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
kernelmode, где были описаны методы атак, походу поломался.
Дополнительная инфа ниже:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
ProxyInject атака
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.
PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
Duplicate Handle атака
Суть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объекта описателя открытого процесса. В итоге, это может привести к полной компрометации процессов антивируса либо к инжектированию в них вредоносного кода.
RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
Shim engine атака
Блокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.
Reparse-Point атака
Блокирование функционала антивирусного ПО через открытие на защищаемой директории NTFS-потока и установку точки повторной обработки.
