Tema destacado: Personaliza-Escoge el diseño del foro que más te guste.
 Autor
|
Tema: Estudio de como deshabilitar antivirus (Leído 2,367 veces)
|
|
kamsky
|
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
|
Novlucker
Ninja y
Ex-Staff
 Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Si pero no XD, es que justamente lo miré hoy en la mañana y me pareció incompleto, pero de cualquier manera interesante. Lo que ocurre es que hay un pdf con 10 páginas que da las pautas de que se hizo, pero no detalle técnico de como, aunque bueno, quizás sea interesante ver si sale algo de este subforo  |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Littlehorse
All the world's a stage
Colaborador
Desconectado
Mensajes: 2.710
Nie Dam Sie
|
Claro, pero mas que nada por que: Pseudo-code about to be released (if legally possible !). y sobre todo por que: Attend iAWACS 2010 in Paris (12-14th may right after the EICAR conference).
◦We intend to go farther and further.
◦User mode, Windows 7, more Avs, poc writing…  |
|
|
|
|
En línea
|
  @NeedOfSecurityAn expert is a man who has made all the mistakes which can be made, in a very narrow field. |
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Pues no es tan dificil habria que terminar procesos eliminar registros  bueno los que permita el privilegio tambien se podria hookear apis para que no tenga conexion a internet y dejarlo mudo  o hookear apis de busquedas y borrado de archivos para que la cosa sea invicible y si me llamo Hendrix , Mazard o tengo un nivel para sentarme a debatir con ello podria desmontar el driver de Kasperesky  pero vamos es mas facil esconderce y pasar desapercibido que armar tanta lata yo por lo menos nunca me he sentado hacer eso aunque me ha llamado la intension de hookear las apis en los procesos de escaneo pero por lo menos en kasperesky esos procesos estan protegidos en ring 0  por lo que no debe ser una empresa nada facil ...... Saludos .... |
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
Hendrix
|
Hace ya mucho tiempo que vengo diciendo que las soluciones actuales dejan bastante que desear....en general casi todas se pueden saltar, bien sea en modo usuario o en modo Kernel. Hace algunos meses escribí un PoC con el que conseguía cargarme al Kaspersky sin complicarme mucho la vida... Un Saludo  |
|
|
|
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián |
|
|
|
Karcrack
|
Hace algunos meses escribí un PoC con el que conseguía cargarme al Kaspersky sin complicarme mucho la vida... No he podido encontrar esa prueba de concepto, algun link o referencia please?  Sin duda suena muy interesante
|
|
|
|
|
En línea
|
|
|
|
|
Hendrix
|
A esa PoC no la e publicado No todo lo que escribo se puede publicar, o si se publica, no todo puede estar a la vista por razones obvias (compilar y usar el código en lugar de estudiarlo). Pero bueno, lo que hice fue lo siguiente: - Cargar mi driver
- Reparar la SSDT (ya que el KAV hookea un montón de API's en la SSDT)
- Matar los procesos en modo usuario del KAV
Con esto es suficiente... Un Saludo |
|
|
|
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián |
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Cargar mi driver
Reparar la SSDT (ya que el KAV hookea un montón de API's en la SSDT)
Matar los procesos en modo usuario del KAV
Mas Facil imposible
|
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
|
|
|
Karcrack
|
Si bueno, desde Ring0 es mas facil... Lastima no poder ver ese PoC Littlehorse, el codigo del que hables esta hecho por XCryptor, y funciona desde Ring3, nivel usuario... |
|
|
|
|
En línea
|
|
|
|
|
|
n3fisto
Desconectado
Mensajes: 155
|
Viendo ese code si funciona e hice la prueba como indico Hendrix y funciona a la pergeccion solo que lo hice para el Avast ya q es el Av que uso
|
|
|
|
|
En línea
|
|
|
|
|
 |
