Есть ли возможность поменять провайдер антивируса с помощью реестра/wmi?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как поменять провайдер антивируса?
- Автор темы WhiteDragon
- Дата начала
- Автор темы
- Добавить закладку
- #2
и можно ли просто врубить через cmd/ps деф и заменит ли он по дефолту другой авер, который стоит?
Что за провайдер антивируса? AMSI провайдер? AMSI-провайдер просто обычный COM-объект, считать его GUID из HKLM\SOFTWARE\Microsoft\AMSI\Providers, и поменять HKLM\SOFTWARE\Classes\CLSID\<GUID>\InprocServer32 (и такой же ключ в Wow64 ветке) на что-то несуществующее. Если авер не проверяет и не восстанавливает эти ключи, то его AMSI провайдер отвалиться.
В WMI в root\SecurityCenter2\AntiVirusProduct было какое-то поле с флагами, типа status или state. Исходя из флагов в этом поле, можно посмотреть включен ли авер, актуальны ли сигнатуры и тд, то есть "заменил" ли текущий авер дефендера или нет. Я могу посмотреть потом у себя, что какой флаг что означает, если нужно, с ходу не вспомню. Там что-то типа 0x04XX - включен, 0x06XX - выключен. Они не документированы были, но можно выгуглить. Большинство аверов отключают дефендера при установке.
Последнее редактирование:
KasperWAF
Гость
Нельзя. Там своя система сертификатов и закрытое апи, чтобы ты мог выдать свой софт за антивирус, он должен быть подписан. Подробнее https://social.msdn.microsoft.com/F...irus-for-windows-7?forum=windowscompatibility
речь же о том, чтобы установить вд текущим антивирусом, а не устанавливать свой софт в качестве ав
productState
KasperWAF
Гость
Ответ аналогичен. По ссылке выше написано, почему и как.