• XSS.stack #1 – первый литературный журнал от юзеров форума

Малварь для убийства неубиваемых процессов

Отслеживать
sect adept

sect adept

(L3) cache
Пользователь
Регистрация
19.02.2022
Сообщения
280
Решения
3
Реакции
73
Доброго времени суток, господа форумчане. У меня возник деликатный вопрос по поводу убийства неубиваемых процессов. Появилась надобность убить процессы антивируса. Ругается на все подряд. В итоге криптанул малварь, а именно PCHunter (старый добрый проверенный временем). В итоге удалось запустить его в обход АВ, но убивать процессы он отказывается. Собственно, вопрос - подскажите, пожалуйста малварь для убийства неубиваемых процессов, может быть аналог хантера или хз.
 
Сортировать по дате Сортировать по голосам
sect adept сказал(а):
Доброго времени суток, господа форумчане. У меня возник деликатный вопрос по поводу убийства неубиваемых процессов. Появилась надобность убить процессы антивируса. Ругается на все подряд. В итоге криптанул малварь, а именно PCHunter (старый добрый проверенный временем). В итоге удалось запустить его в обход АВ, но убивать процессы он отказывается. Собственно, вопрос - подскажите, пожалуйста малварь для убийства неубиваемых процессов, может быть аналог хантера или хз.
Там в ProcessHacker используются хоть и подписанные драйвера, но их АВ удаляют сразу, а без них его функционал практически равен нулю.
Есть аналог WKE, но он без сорцев и там даже на драйвер наложили VMProt.
varwar сказал(а):
Дело не только в r3. В том же эксперименте выше я передавал из контекста ядра в rip NtTerminateProcess (PreviousMode = 0) с параметрами для убиваемого PPL-процесса.

C: 
NTSTATUS __stdcall NtTerminateProcess(HANDLE ProcessHandle, NTSTATUS ExitStatus)

и получил аналогичный код ошибки. Т.е. DKOM с понижением прав _PS_PROTECTION и убийством процесса не работает из контекста r0 описанным выше методом. Про другие методы ничего не знаю. Возможно перепроверю на тестовом драйвере, чтобы эксперимент был чуточку чище.
Зачем ZwTerminateProcess, если для "нашей задачи" неоходимо и достаточно PsSuspendProcess.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Stupor сказал(а):
Зачем ZwTerminateProcess, если для "нашей задачи" неоходимо и достаточно PsSuspendProcess.
Потому что ТС спрашивал про "убийство" в первом посте. Засуспендить попробую, кстати, тут плюс.
 
За 0 Против
В случае с АВ там еще могут быть подземные камни типа шаманства с правами доступа (ACL/DACL), но из драйвера можно думаю обойти.
 
За 0 Против
Почему нельзя ребутнуть тачку в тестовом режиме, чтобы драйвера без подписи загружались?
 
За 0 Против
sect adept сказал(а):
Почему нельзя ребутнуть тачку в тестовом режиме, чтобы драйвера без подписи загружались?
По 3-м причинам:
1. Алерт АВ и в итоге АВ может вообще не дать изменить загрузчик
2. SeсureBoot в биосе
3. Использование АВ ELAM
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх