Marion22
 Desconectado
Mensajes: 19
|
Hola
necesitaba desactivar el norton internet security 2010 remotamente con un rat...
intente matar proceso pero no deja, este av no inicia por entrada en el registro... inicia por servicio pero el servicio no se da ni detenido ni deshabilitado!
alguna idea?? es urgenteee
saludos y graciaaas
|
|
|
|
|
En línea
|
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
No solo esta el sevicio despues estan los driver y hooks en Ring 0  es mas facil saltarcelo y engañarlo que extirparlo.... ¿que quieres hacer exactamente ? |
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
Marion22
Desconectado
Mensajes: 19
|
pues basicamente lo que quiero hacer es asegurar mis futuras conexiones ya que asi mis servers no duran mas de un dia, aunque el server siga totalmente fud, los detecta con su proteccion activa, por las acciones maliciosas o nose... osea que no los detecta por firmas sino estaba facil cambiando el archivo hosts!...
como se podrian quitar los drivers o hooks en ring 0 que dices?? no se de eso...
que me recomiendass??
gracias por responderr!
saludoos!
|
|
|
|
|
En línea
|
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Eso de desmontar drivers y deshookear en Ring 0 es muy lioso por no decir Imposible  pero si eres tu el que esta programando el server necesitas inyectarte, cifrar las apis de winsock y algunas de kernell32, eso si se puede hacer, hay un sin numero de manuales de inyeccion de codigo y hooks en las chinchetas ..... cuando orientas el diseño del server en modo rootkit te puedes saltar casi todo ... hasta puedes abrir puertos y montar un servidor web sin armar alboroto ...  |
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
Marion22
Desconectado
Mensajes: 19
|
pues no lo programo yo, es un server de poison ivy.. pero inyectandolo en un proceso... nunca me gusto inyectar porque muchas veces el pc manda errores de fallos del explorer...
pero nose... que me recomiendas para poder saltarme ese av que me vuelve loco...
otro rat mas avanzado... algun modo de exterminarlo...
basicamente lo que quiero es estabilidad y... seguridad a no perder nunca la conexion... y sobretodo no volver inestable el pc remoto.
ya llevo buscando mucho por internet pero no encuentro ni formas de matarlo ni de saltarse la proteccion proactiva que normalmente en poco tiempo mata el server...
gracias por la ayuda amigoo!
saludos!
|
|
|
|
|
En línea
|
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Inyectalo en otro proceso con permisos de firewall  es lo unico que se me ocurre... Saludos .... |
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Este mensaje no contiene nada con fines educativos referente al analisis y dise~o de malware por lo tanto debe ser bloqueado o eliminado
|
|
|
|
|
En línea
|
|
|
|
XcryptOR
Desconectado
Mensajes: 225
|
quita el hook , no es difícil, repara la SSDT y listo así puedes cargarte cualquier servicio o proceso.
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Si el SO en el que esta instalado el AV es Windows XP, no tendras problemas en cargarte *cualquier* AV  Solo has de jugar con la PhysicalMemory (y debuggear el Driver, claro...) |
|
|
|
|
En línea
|
|
|
|
Marion22
Desconectado
Mensajes: 19
|
si es windows xp el so en el que esta instalado... y como puedo hacer lo que me mencionais...?? como se quita el hook? que es lo necesario?
donde puedo encontrar informacion al respecto?? muchas gracias!
|
|
|
|
|
En línea
|
|
|
|
Marion22
Desconectado
Mensajes: 19
|
Hola amigos he encontrado una forma de matar el proceso del AV, con el programa Rootkit Unhooker LE v3.7
el problema esque este programa funciona graficamente y no se puede manejar desde una shell remota... hai alguna forma de automatizar el proceso sin que se muestre ninguna ventana del programa en el pc remoto??
sino es asi... al igual que el programa puede matar el proceso... tiene que haber alguna otra utilidad que quite el hook o algo para matar el proceso, asi como alguna forma manual!
ya me llevo mucho tiempo peleando con esto! haber si finalmente lo logrooo! jaja
gracias!
saludos!
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Hola amigos he encontrado una forma de matar el proceso del AV, con el programa Rootkit Unhooker LE v3.7
el problema esque este programa funciona graficamente y no se puede manejar desde una shell remota... hai alguna forma de automatizar el proceso sin que se muestre ninguna ventana del programa en el pc remoto??
sino es asi... al igual que el programa puede matar el proceso... tiene que haber alguna otra utilidad que quite el hook o algo para matar el proceso, asi como alguna forma manual!
ya me llevo mucho tiempo peleando con esto! haber si finalmente lo logrooo! jaja
gracias!
saludos!
Tienes conocimientos para trazar programas con el Olly, si es asi podrias ver como el programa lo hace e incorporarlo a tu codigo
|
|
|
|
|
En línea
|
|
|
|
Marion22
Desconectado
Mensajes: 19
|
pues me temo que no tengo conocimientos de ensamblador como para hacer eso!... pero... si no es posible para mi... hay algun rat que se salte la proteccion proactiva del norton...?? porque me parece impresionante... aun probando con servers totalmente FUD. salta un mensaje poniendo: "SONAR detecto el riesgo para la seguridad" y lo bloquea... me vuelvo locoo!!  espero su ayudaa xD saludoos! |
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.507
El Dictador y Verdugo de H-Sec
|
Hoy parece un buen dia para que te sientes y empiezes a aprender a tracear un programa.
|
|
|
|
|
En línea
|
|
|
|
|
[Zero]
|
A ver, el RootKit Unhooker que dices, lo que hace es lo que te decía XcryptOR, reparar la SSDT para quitar los hooks que instaló el antivirus. Claro que se puede hacer "manualmente", tienes con chincheta un texto de Hendrix "Introducción a la programación de drivers en Windows". Pero sinceramente considero que antes de meterte en eso debes aprender otras muchas cosas . Saludos |
|
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.” Nietzsche |
|
|
|
Autor
