Vorwort: Dies Text Tutorial habe ich nicht geschrieben ^^

[Paper] Anti AV
by silentz
for the DarK-CodeZ MAG #2

Vorwort:
Das Tutorial bringt euch näher wie ihr AVs, hier speziell AntiVir zerstört.
Im grunde ist das alles ganz einfach, sehr einfach.

1. Windows Sicherheitscenter-dienst stoppen
2. AV-dienst stoppen
3. AV-Prozess beenden
4. Imagepath des AVs inner Registry verändern
5. Ordner des AVs löschen.
6. Sicherheitscenter anmachen
ggf. 7. Reg-einträge des AVs löschen

zu 1. Wieso sollte ich als erstes das Sicherheitscenter deaktivieren?
-Ganz einfach, weil das Sicherheitscenter sofort alarm schlägt falls ein AV beendet wird.
wenn wir das sicherheitscenter erst beenden, sprich den Dienst, wird/kann eine meldung nicht mehr ausgegeben werden.

zu 2. Wieso den dienst beenden? Das ist auch genauso einfach, weil man erst den Dienst beenden muss bevor man den Prozess beenden kann, sonst spinnt das AV rum, besonders weil sich der Prozess nicht so einfach schließen lässt. Man kann ja einfach ma den Taskmanager öffnen und versuchen, den Prozess: avgnt.exe zu beenden. Siehe da es geht nicht. Also immer erst den dienst beenden!

zu 3. Nun beenden wir den Prozess, komischerweise lässt er sich jetzt beenden, und macht garkeine faxen mehr. Das brauchen wir damit wir die exe löschen können. Denn, falls die exe am laufen ist ist ein löschen nicht möglich.

zu 4. Nun den imagepath beenden, der Imagepath sorgt für das Ordnungsgemäße starten der datei verändern wir ihn auf eine andere (von uns erstellte exe) is dieser nun auch hinüber und eine reparatur des AVs is nichmehr möglich, genauso wie das starten des AVs.

zu 5. Nun können wir einfach den Ordner des AVs löschen, auch wenn manche dlls nicht gelöscht werden, ist das programm nichtmal mehr annähernd funktionsfähig. auch eine Reparatur bring das ganze nicht wieder zum laufen.

zu 6. jetzt starten wir das sicherheitscenter wieder, damit alles möglichst unauffällig ist.

zu 7. man kann jetzt halt noch alle anderen reg-einträge löschen oder modifizieren.

anmerkung zu 4. Das ist der Imagepath des Services den das AV braucht. man kann nun einfach eine leere exe erstellen und ihn darauf umleiten. mehr ist eig nicht nötig. Der Service ist absolut nichtmehr startbar.

schluss:
So ich hoffe euch hat das Paper geholfen, und vllt hat ja der ein oder andere nach sowas gesucht.
Ich kann nicht versprechen das das alles noch genauso funktioniert, denn ich habe das alles vor nem halben jahr gemacht und benutze jetzt linux.
getestet habe ich das alles auf Windows XP SP2.
Zu dieser Zeit hat alles Funktioniert ohne Fehler und ohne Probs.

mfg silentz