• XSS.stack #1 – первый литературный журнал от юзеров форума

Как отключить антивирус через powershell?

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
Поиском пользоваться умеем ?
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/54319/
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
Jaday сказал(а):
Спасибо за инфу, но тут только как дефендер отключать
другие AV ты не отключишь просто так
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Filter сказал(а):
Да ну... Если есть права админа, можно службу ав локнуть
Да-да, конечно, так тебе авер позволил службу отключить, все дрова выгрузить из ядра, тут только если новогоднее настроение поможет, да и то не факт. Намекну на одну вещь, она может и будет работать только в частных случаях, а не в общем случае, но все равно. Если найдешь установщик этой конкретной установленной версии авера, то у них иногда бывает ключик командной строки для сайлент деинсталляции, но это любая прокладка между монитором и креслом может заметить и охереть с такой наглости, очень грязное решение.
 
DildoFagins сказал(а):
Да-да, конечно, так тебе авер позволил службу отключить, все дрова выгрузить из ядра, тут только если новогоднее настроение поможет, да и то не факт. Намекну на одну вещь, она может и будет работать только в частных случаях, а не в общем случае, но все равно. Если найдешь установщик этой конкретной установленной версии авера, то у них иногда бывает ключик командной строки для сайлент деинсталляции, но это любая прокладка между монитором и креслом может заметить и охереть с такой наглости, очень грязное решение.
ну а есть еще какие то способы? Тоесть попасть в систему я попал, рут взял, теперь стилак хочу загрузить но ебан#й аваст мешает, это к примеру, что я могу сделать, кроме того что "сделать охуенный крипт стилака чтобы был фуд рантайма и скантайма"
 
Jaday сказал(а):
кроме того что "сделать охуенный крипт стилака чтобы был фуд рантайма и скантайма"
Не поможет. Аваст детектит чтение БД браузеров не из процесса самого браузера.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
WhatsNew сказал(а):
Не поможет. Аваст детектит чтение БД браузеров не из процесса самого браузера.
А что делать тогда?

Jaday сказал(а):
ну а есть еще какие то способы?
У меня был систем доступ, ловил av block exec. Так и не обошел. Забил х#й потом просто и все. Кроме нормального крипта никак не обойти.
 
invisibiliahospite сказал(а):
А что делать тогда?
Инжекти шеллкод в процесс браузера, копируй БД (Login Data в случае хрома содержит пароли), расшифровывай.
 
AV запускается в режиме Protected Process Light (PPL). Из-за этого, имея даже админские права, не хватает привилегий для закрытия процесса. Эти вещи можно обойти , закрыть ав, только если запустить свой процесс в режиме PPL или PP (protected processes). Есть разные методики для запуска своего процесса в этих режимах: использовать драйвер от mimikatz ( палится всеми ав), использовать заранее уязвимый драйвер подписанный сертификатом. Почитай про бут и рут киты, станет более понятно как все устроенно и как работает ав.
 
DildoFagins сказал(а):
Да-да, конечно, так тебе авер позволил службу отключить, все дрова выгрузить из ядра, тут только если новогоднее настроение поможет, да и то не факт. Намекну на одну вещь, она может и будет работать только в частных случаях, а не в общем случае, но все равно. Если найдешь установщик этой конкретной установленной версии авера, то у них иногда бывает ключик командной строки для сайлент деинсталляции, но это любая прокладка между монитором и креслом может заметить и охереть с такой наглости, очень грязное решение.
Как теперь развидеть историю охеревания прокладки ?))))))
 
Попробуй групповыми политиками винды. У этой темы вроде как даже свой COM интерфейс есть ;) По пути к папке/ехе или по сертификату. В далеком 2016-17 работало, может работает и сейчас.
Можешь так же в теории попробовать произвести запись в альтернативный NTFS стрим файлам ав(не только ехе, но и dll) файла Zone.Identifier со значением 4. Не гарантирую, что сработает и даст вообще записать, но все возможно, пробуй.
 
Код: 
@echo off
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d 0x1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d 0x1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d 0x1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d 0x1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d 0x1 /f

попробуйте
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх