eso no lo vas a ver tan facil, sabes de quitar hooks desde la SSDT, o mapear procesos en memoria. pues la verdad si no lo sabes te va aquedar muy dificil, aunque elimines los procesos servicios y drivers, el sistema se te va a colgar al proximo reinicio. ademas de que el deep 6.x elimina privilegios como el de debug, y asi dudo que se puedan tocar sus procesos muy dificil que consigas ayuda en este tema.
mira aqui te dejo algo quizas puedas sacar algunas cosas interesantes, segun el programador funciona para las versiones 6.x, se trata de un deep freeze password remover. Descargar
eso me gustaria verlo sin procesos, sin consultar en el registro o cero informacion del av. no creo , bueno habra que esperar. mmm mi av killer termina todos y absolutamente todos los avs.
Sino puedes hacer como yo, que me leo los analisis de Malwares nuevos
jaja, eso mismo hago yo, sabes, una buena pagina para aprender tecnicas para tus virus es la de symantec, te muestra las entradas que modifican ciertos virus y te explican que efectos causan esta info es de doble filo jejeje, ademas hay otras intreresantes como la de perantivirus que tambien explica bien los malwares.
sabes deberias usar apis, ademas hay cosas como los paths de las carpetas compartidas usas hardcoded paths y si se cambia la ruta adios rutina p2p la mejor opcion es buscar en el registro. descarta el wscript.shell nunca veras un buen worm usando este objeto usa apis, tienes codigo que se repite muchas veces usa bucles.
te falta una cosa importante cifrar las cadenas, ademas de que el archivo ejecutable de un proyecto tan pequeño pesa 104 kb, yo tengo gusanos con cientos de lineas de code y muchos modulos (bas y cls) y apenas pesa alrededor de los 40 kb, en parte se debe al icono que pesa nada mas que 18 kb.
La verdad vas por buen camino depuralo un poco y veras los buenos resultados que obtienes.
ademas de minimizar consumo de recursos, es la mejor forma de hacerlo, el sistema windows es un sistema basado en mensajes y un timer la verdad si no lo manejas adecuadamente se como al procesador
mira muchos me dijeron que desde VB no era factible, que se necesitaba un driver en c corriendo en modo kernel en fin nadie confiaba que se pudiera eliminar al kasper desde modo usuario en vb, y como dice invisible_hack no hay cosas imposibles. fue dificil en especial lo del unhook de las apis como veran el modulo mas complejo y gracias a Iceboy por su code, magistral los creditos para el. muchas gracias a todos.
mira como no me gusta solo hablar aqui te dejo un video de como jodo al KIS 2009 version 8.0.0.454 y de lo que tu me hablas no se por donde, la verdad ni idea de lo del cartelito ni de las sospechas de ejecución de privilegio de debug
pueden hacer click sobre el video para ir a youtube y verlo en pantalla completa y en HD (High Definition) Alta definición
y algo mejor es indetectable a los AVs
File Info
Report generated: 14.4.2009 at 1.22.13 (GMT 1) Filename: kavkill.exe File size: 27 KB MD5 Hash: F1453F966356F2F8C6E832FD8A1191AA SHA1 Hash: F23C810CA3F106C206A869A32D1D985D950BAF25 Packer detected: Microsoft Visual Basic 5.0 / 6.0 Self-Extract Archive: Nothing found Binder Detector: Nothing found Detection rate: 0 on 22
Era una pregunta retorica, bueno en el foro no se aprecia bien. El Kis alerta de la escalada de privilegios a depuracion y muestra un cartelito bien gordo.
Saludos.
para nada instale el KIS 2009 version 8 y lo elimino inmediatamente, ni siquiera lo agrego a la zona minima de restricciones, apenas basto un click para que el driver y los procesos fueran eliminados y despues del reinicio tampoco ni rastros del KIS (exepto por lo del menu contextual que muestra el letrero de scan como desactivado), no se que pasa con tu sistema o si tienes configurado de una forma diferente el KIS, yo solo lo instale de la forma estandar la que se instala en un 90% de los PCs con KIS.