Всем привет! Меня зовут Олег и мое хобби - тестирование антивирусов на стойкость, обнаружение и прочее. И так, решил я у себя дома протестировать Майкрософтовский антивирус (MSE) на "прочность". Начал с самого простого: написания Бат-файла, который элементарно будет убивать процесс антивируса, затем удалять его исполняемый файл. После сохранения готового файла, я проверил его сканером МСЕ - файл чист. Запустил и увидел, что антивирус закрылся и запустить его больше не удалось на моем ПК. Данная статья была написанна мной как личные наблюдения и мнения. После теста, БАТ-файл был мной удален с ПК. Скрин кода прилагаю. Часть кода Бат-файла, скрыл по этическим соображениям. Чтобы "плохие люди" не смогли им воспользоваться для написания трояна
Здесь находятся
всего 0. За сутки здесь было 0 человек
Комментарии 27
В 7ке под админом можно внести задание планировщика, который отработает от имени системы, каспер так ложится легко. Но здесь есть одно но... вирусы не батниками обходят и работает это минимум с правами дебагера...
-------------
Добавлено в 23.17: Можно от админа запустить процесс обновления системных файлов, под который попадет каспер, он тоже ляжет, но опять таки, права...У меня все сервисы мсе стартуют от привилегированных учеток, ну не может обычный пользователь их снести...
-------------
Добавлено в 23.19: В Пн. обязательно перепроверю.
Это очевидно и естественно... Но как бы я не пытался батником бить процесс avp.exe касперского (переписывал коды и прочее в батнике), запаковывал его в exe (компил-л) с запросом прав админа при старте, запускал через правый клик-запуск от имени админа, под админской учеткой и тд - все равно не смог убить процесс каспера... Единственное что смог-вызвать критическую ошибку через батник и отправить ОС в рестарт... Это меня порадовало, ведь тот же МСЕ закрывается при запуске батника в сеансе пользователя с огранич учеткой без всяких проблем..
Админ < Система
Любой процесс запущенный в контексте админа либо системы не возможно завершить пользователем с меньшими правами.
Тест запускался на Юзере (без админских прав), обычным двойным кликом (не правой-запуск от имени админа). МСЕ и МАКАФИ закрылись, КАСПЕР и НОРТОН не закрылись.
-------------
Добавлено в 22.02: А каспер и под Админом этим батником не закрылся. На своей Win7 max 64x пробовал.
-------------
* редактировал(а) knopa 00:06 7 апр 2013
Хотел много обидного, наверное, написать...
Ограничусь только тем, что тестить нужно не под админскими правами, а то можно с таким же успехом убить каспера этим же батником, запусти его от имени системы... Ты бы ещё в нулевое кольцо залез и от туда делал...
Lohophone
Я написал его просто для теста... Специально скрыл полный текст файла, чтобы его не скопировали. Уверяю, с моего ПК данный файл никогда и никуда не попадет... Просто поделился личными тестами антивируса и отправил разработчику результат, с целью закрытия этого недочета в своем продукте.
Согласен, но даже и так: если юзер сидит под учеткой с правами админа (обычный пользователь на своем личном пк) - случайно запускает этот батник (по разным причинам, например думая что скачал нужную прогу (а мсе молчит, - значит думает нормальный файл)), и не замечает даже, что в трее пропал значок мсе, и продолжает посещать страницы с вредоносным по и тд, думая что защищен... (кроме того, что батник убил процесс антивируса, он еще и удалил некоторые файлы мсе, в результате чего, данный антивир уже больше не запустится, даже после рестарта). Лично мое мнение, что это огромнейший косяк МСЕ, и данный батник может легко использоваться "нехорошими людьми", для убийства антивируса с последующей закачкой на ПК основного файла вируса... ЭТО ЛИШЬ МОЕ МНЕНИЕ...
-------------
Добавлено в 00.02: Кстати, спасибо, что пишите свои отзывы, коментарии, мнения и делитесь опытом...
0 ответить