anti-av

[Shadowstyle]

Vorwort: Dies Text Tutorial habe ich nicht geschrieben ^^

[Paper] Anti AV
by silentz
for the DarK-CodeZ MAG #2

Vorwort:
Das Tutorial bringt euch näher wie ihr AVs, hier speziell AntiVir zerstört.
Im grunde ist das alles ganz einfach, sehr einfach.

1. Windows Sicherheitscenter-dienst stoppen
2. AV-dienst stoppen
3. AV-Prozess beenden
4. Imagepath des AVs inner Registry verändern
5. Ordner des AVs löschen.
6. Sicherheitscenter anmachen
ggf. 7. Reg-einträge des AVs löschen

zu 1. Wieso sollte ich als erstes das Sicherheitscenter deaktivieren?
-Ganz einfach, weil das Sicherheitscenter sofort alarm schlägt falls ein AV beendet wird.
wenn wir das sicherheitscenter erst beenden, sprich den Dienst, wird/kann eine meldung nicht mehr ausgegeben werden.

zu 2. Wieso den dienst beenden? Das ist auch genauso einfach, weil man erst den Dienst beenden muss bevor man den Prozess beenden kann, sonst spinnt das AV rum, besonders weil sich der Prozess nicht so einfach schließen lässt. Man kann ja einfach ma den Taskmanager öffnen und versuchen, den Prozess: avgnt.exe zu beenden. Siehe da es geht nicht. Also immer erst den dienst beenden!

zu 3. Nun beenden wir den Prozess, komischerweise lässt er sich jetzt beenden, und macht garkeine faxen mehr. Das brauchen wir damit wir die exe löschen können. Denn, falls die exe am laufen ist ist ein löschen nicht möglich.

zu 4. Nun den imagepath beenden, der Imagepath sorgt für das Ordnungsgemäße starten der datei verändern wir ihn auf eine andere (von uns erstellte exe) is dieser nun auch hinüber und eine reparatur des AVs is nichmehr möglich, genauso wie das starten des AVs.

zu 5. Nun können wir einfach den Ordner des AVs löschen, auch wenn manche dlls nicht gelöscht werden, ist das programm nichtmal mehr annähernd funktionsfähig. auch eine Reparatur bring das ganze nicht wieder zum laufen.

zu 6. jetzt starten wir das sicherheitscenter wieder, damit alles möglichst unauffällig ist.

zu 7. man kann jetzt halt noch alle anderen reg-einträge löschen oder modifizieren.

anmerkung zu 4. Das ist der Imagepath des Services den das AV braucht. man kann nun einfach eine leere exe erstellen und ihn darauf umleiten. mehr ist eig nicht nötig. Der Service ist absolut nichtmehr startbar.

schluss:
So ich hoffe euch hat das Paper geholfen, und vllt hat ja der ein oder andere nach sowas gesucht.
Ich kann nicht versprechen das das alles noch genauso funktioniert, denn ich habe das alles vor nem halben jahr gemacht und benutze jetzt linux.
getestet habe ich das alles auf Windows XP SP2.
Zu dieser Zeit hat alles Funktioniert ohne Fehler und ohne Probs.

mfg silentz

[Grim-Reaper]

Kannte ich schon... Aber nice

[Shadowstyle]

Wäre mal Praktisch wenn einer so ein tool über Bath schreiben würde das man dan bei nem vic auf den pc laden könnte und Per remote shell starten ^^

[snify]

gutest Tutorial.
Aber ich glaube kaum, dass das dann wieder mit dem Sicherheitscenter funktioniert,
denn das Sicherheitscenter überprüft den Avira Prozess selbst (soweit ich weiß) d.h. dass wenn man das Sicherheitscenter wieder aktivieren würde müsste die Meldung kommen: Kein AntiViren Programm installiert oder es ist nicht auf dem neuesten Stand etc.
kann mich aber auch irren...

[Shadowstyle]

Joa aber Man kann da ja z.b ein Ignore klicker machen ^^
In dem man Pixel scannt war ja schonmal die idee ^^
man kann aber auch einfach irgendeine datei ersetzten im ordner vom av und dan deaktiviert die sich einfach jemand hat es mir mal gesagt ...
Aba vergessen wenn ich es weiß sage ich hier bescheid =)