Статья Обход проактивной защиты антивирусов

[X-Shar]

Провел тест детектов из этого поста с включённым интернетом:https://dyncheck.com/scan/id/dfcc97a7df4433d9e84b1d94e636f31e

Особо ничего не поменялось, Нортон и Авира стали детектить архив, а не сам файл, который делает инжект...

Ну касперский как не детектил, так и не детектит.)

 

[Bozon]

ну вот скажем делаем на петоне, который распознает картинку, после вычисляетя по скриншоту от холдера где находится данная кнопка и передает координаты кнопки где можно вырубить авер. Или даже дальше пойти и занести свою прогу в процесс доверенных. Ну да, понимаю, сложно, но не будет ебли с инжектами, удалением и т.д. Или даже вручную можно. Ничего сложного нет. Простой hvnc. (норм идея кста, можно и реализовать)

А кста, а таким образом обойти uac вполне же возможно, ток когда uac выходит такая хрень, что невозможно подвигать в той области мышкой програмнно. Какой выход есть из этого? Где-то про такое читал, но хз где...

Как сказал ранее DildoFagins можно реализовать проще через EnumWindows, однако если речь идет о ТОП аверах - не дадут этого сделать со своим окном.
В качестве эксперимента можешь позапускать под drweb, avast, kaspersky.

 

[heybabyone]

Как сказал ранее DildoFagins можно реализовать проще через EnumWindows, однако если речь идет о ТОП аверах - не дадут этого сделать со своим окном.
В качестве эксперимента можешь позапускать под drweb, avast, kaspersky.

Попробуй при помощи winapi функции подвигать мышкой или кликнуть. Все бы ок, но когда выйдет UAC ты определнно не сможешь.
UIPI - изоляция привелегий пользовательского интерфейса. Это как UAC, но с отличием, что твоей программе без этой (high) привелегии не даст кликнуть. Уверен, что та же самая шляпа у топ аверов (UIAccess в манифесте TRUE должно быть, чтоб обойти UIPI, а для этого валид серт).
Как это обходится? Если чел в группе админов - то мы каким либо образом должны соинжектиться с system32/osk.exe - т.к. программа экранной клавиатуры, и еще находится в доверительной папке. А чтоб туда попасть, нужно самому подумать и сделать) Будто подмена dll этой проги, либо инжект, либо сплайсинг и т.д. (Но до этого попробуй просто дропнуть dll в Program File etc)
А после когда высветится UAC мы спокойно можем уже двигать мышкой, кликнуть "ДА" и т.д. (Обход юака)

Вторая проблема - это различие языков/версии авера системы. И тем более, будет подозрительно если холдер сидит и тут начинает дергатся мышка. Значит создаем виртуальный рабочий стол и делаем по методу HVNC.

Если Вы сделали код на петоне, который справляется распознованием и передачей точной координаций X/Y чтобы нажать кнопку авера "OFF SECURITY", то поджидает другая проблема - может быть установлен пароль или ограничения на снятие защиты.

Вышеперечисленным трюком можно и много че интересного сделать (обход юака, брэндмауэр etc), но при каких-то моментах выключение авера моим способом, думаю, есть шанс на реализацию.