Русский / Russian English / Английский

Сейчас на форуме: pittik, maulab (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Как удалить неудаляемые приложения (антивирусы)
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 31 августа 2019 00:27 · Поправил: morgot New!
Цитата · Личное сообщение · #1

Как-то раз попалась мне тема, что ищется способ "убийства" (т.е. удаления с машины) авера. При этом человек писал, что есть полные (админские) права, но прога не удаляется. Ради интереса, скачал авер софос (это есть у многих, софос для примера) - действительно, после установки ничего не удаляется, что не делай, и что не запускай. Даже windows SRP не блокирует его.

Вопрос - почему так? Я понимаю, что последние годы идет тенденция к "защите от админа". Но как это вообще возможно? У аверов есть какие-то особые права, данные Майкрософтом (невыгружаемый драйвер, неубиваемый процесс), или же , такое теоретически может сделать любой шароварник, имеющий драйвер ? Где можно узнать технические детали работы такого софта? Мб кто реверсил, ибо у меня знаний по дровам / безопасности почти нет.

Реймонд Чен писал, что Windows решила оставить пользователям контроль над своими программами и данными, а администраторам - над их машинами. Поэтому пользователь может убить любой процесс, какой он захочет (если у него хватает на это прав), он может остановить любую программу, которая тырит фокус, и он может удалить любой файл, какой только захочет (опять-таки, если у него есть на это права). (--> отсюда <--, перевод.). Жаль, что эта политика изменилась.


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 31 августа 2019 04:38 New!
Цитата · Личное сообщение · #2

morgot

А какие детали вам нужны. Активность ав не отличима от вредоносной, они загружаются и патчат ядро, устанавливая км монитор. Он портит процессы, далее загружая монитор в юм.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 31 августа 2019 22:45 New!
Цитата · Личное сообщение · #3

difexacaw
однако, неудаляемых малварей я не встречал. А вот авер - есть.
Я просто не пойму, у них какие-то расширенные привилегии? Ну вида какой-то гипервизор , особый серт от майкрософта, или как?
Почему его нельзя удалить штатными средствами винды?


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 1 сентября 2019 00:39 New!
Цитата · Личное сообщение · #4

morgot пишет:
А вот авер - есть.

грузимся под акронисом и чистим там всё можно.
или под дос через нортон командер (без перезагрузки в фреедос)
никаких привилегий. чистит всё


Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 1 сентября 2019 11:46 New!
Цитата · Личное сообщение · #5

Просто в винде даже админ вынужден вести себя вежливо с сервисами и прочей ебурдой.
И пока сервис на попытку остановки не скажет "ОК, я свои дела закончил, можно и остановиться" - нифига не произойдёт.
Принудительные методы при этом до добра не доводят. Нарушишь коммуникацию между хуками антивиря и логикой, которая решает "пропустить или нет" - и получишь зависон или синьку.
Поэтому оптимально грузиться в безопасный режим и удалять сервисы напрямую через реестр.


Ранг: 213.9 (наставник)
Статус: Участник
X-Literator

Создано: 2 сентября 2019 15:14 New!
Цитата · Личное сообщение · #6

morgot пишет:
Вопрос - почему так? Я понимаю, что последние годы идет тенденция к "защите от админа".

Если у вас нет соответствующих привилегий, хер вы чё там выгрузите, будьте вы хоть админом, хоть службой.
Какая, в принципе, разница, как называется ваша учётка, если нет прав на выполнение действий?

Почитайте Руссиновича и поймёте более или менее, как эти механизмы работают))

А про принудительную выгрузку, в принципе, правильно сказали - если такая возможность есть, всё равно ей лучше не злоупотреблять.


>> Ну вида какой-то гипервизор , особый серт от майкрософта, или как?

В винде один штатный гипервизор) Сомневаюсь, чтобы антивирусы работали в этом режиме, хотя и не уверен. Скорее всего, просто нужные системные вызовы контролируются, да и всё.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 2 сентября 2019 20:50 New!
Цитата · Личное сообщение · #7

Crawler пишет:
если нет прав на выполнение действий?

Почему у админа не может быть прав? Т.е. вот взять софос - если кто-то установит пароль, то его фиг удалишь , хоть ты суперадмин. Как то странно это. Я все понимаю, малварь, опасность, но - вот во времена ХР, когда малварь могла даже в ядро пролезть и куда угодно. Разве были неудаляемые вирусы ? Именно вот что надо было систему сносить? Не припоминаю. А софт такой есть. И, сегодня авер, а завтра будет стоять какая-то фигня от копирастов, что не даст пиратский фильм посмотреть. И никак не удалишь.

Меня тут удивило другое - я попробовал через Software restriction policy запретить выполнение софта. И не получилось? Как такое может быть? Или я криво сделал (но вроде нет), или права у авера выше системных. Вот что странно.


Ранг: 213.9 (наставник)
Статус: Участник
X-Literator

Создано: 3 сентября 2019 09:36 New!
Цитата · Личное сообщение · #8

morgot
Да ничего странного, это сделано для безопасности. Удалить можно практически что угодно (SDK выше написал, как именно, да и не только так - делаешь себя TrustedInstaller-ом, и можешь хоть всю винду снести нах), но если вы работаете в операционке, то лучше бы не было возможности просто так взять и снести антивирус.

Многие ещё жалуются на то, что нельзя отключить обновления винды (т.е. не просто там приостановить, отложить, а именно отключить). Это из той же оперы: отрубишь - и через 3 месяца пополнишь ряды ботнета из-за какой-нибудь RCE-хи в винде.


Ранг: 1126.2 (!!!!)
Статус: Участник

Создано: 3 сентября 2019 17:14 New!
Цитата · Личное сообщение · #9

Crawler пишет:
делаешь себя TrustedInstaller-ом


лучше сначала системой, затем ti


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 3 сентября 2019 21:35 New!
Цитата · Личное сообщение · #10

Не удаляется авер ни от система, ни от ti
понятно, что можно переустановить винду. Просто удивляет меня это. Не видел раньше такой софт.


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 4 сентября 2019 10:45 New!
Цитата · Личное сообщение · #11

а вирусня с мбр и самовостановлением как же?morgot пишет:
Не видел раньше такой софт.


Ранг: 213.9 (наставник)
Статус: Участник
X-Literator

Создано: 5 сентября 2019 12:16 · Поправил: Crawler New!
Цитата · Личное сообщение · #12

morgot
Напиши прогу на Си, которая включает определенные привилегии, позволяющие сделать себя владельцем файла. Переназначь, поставь GRANT_ACCESS на свою группу пользователей, и после этого сноси файлы, предварительно выгрузив процессы и драйверы антивируса из памяти.


Ранг: 258.5 (наставник)
Статус: Участник

Создано: 5 сентября 2019 14:14 · Поправил: f13nd New!
Цитата · Личное сообщение · #13

Crawler пишет:
которая включает определенные привилегии, позволяющие сделать себя владельцем файла

По-моему это без прог делается вкладкой "безопасность" в свойствах файла. Вместо выгрузки процессов и драйверов можно наоборот присвоить файлы себе, удалить все привилегии какие есть (снять галку "наследование" перед этим) и перезагрузить кампуцер. После чего включить например наследование привилегий и удалить.


Ранг: 213.9 (наставник)
Статус: Участник
X-Literator

Создано: 5 сентября 2019 14:47 New!
Цитата · Личное сообщение · #14

f13nd Мы о разных вещах говорим, похоже. Я про привилегии, которые имеются в токене процесса)

Если вручную, то да, тоже делается несложно, согласен))


Ранг: 258.5 (наставник)
Статус: Участник

Создано: 5 сентября 2019 15:40 · Поправил: f13nd New!
Цитата · Личное сообщение · #15

Crawler пишет:
Мы о разных вещах говорим, похоже.

Про владельцев файлов это ntfs-права, с админскими правами в эксплорере с этим нету проблем.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 5 сентября 2019 16:27 New!
Цитата · Личное сообщение · #16

Я плохо разбираюсь в безопасности винды. Но, вот пробую вручную изменить права на папку, пишет
"ошибка применение безопасности к ..тут имена файлов авера.. . Отказано в доступе". Ес-но от админа делаю.

Добавил еще раз через SRP по мануалу -->отсюда <-- , всю директорию. Некоторые файлы (вида унинсталлера, который и так бесполезен) перестали запускаться, но основные процессы дальше в строю. Этот момент меня больше всего удивляет, чего я и решил заняться этим авером. Почему и как авер выше политики винды?


Ранг: 258.5 (наставник)
Статус: Участник

Создано: 5 сентября 2019 17:05 New!
Цитата · Личное сообщение · #17

morgot пишет:
Почему и как авер выше политики винды?

Скорей всего перехватом по sdt опасные для самого себя действия заворачивает, не подпуская к этому винду. Проще всего тогда livecd каким-нибудь, типа цру-коммандера (cia commander) поудалять, если задача только избавиться от него.


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 5 сентября 2019 21:05 New!
Цитата · Личное сообщение · #18

f13nd

Ничего не мешает запустить дров, который выпилит авера из системы на лету. Точнее обнаружит где он насрал и испортил системные структуры и код. Есть кучи тулз которые отменяют сотни всяких патчей ядра. Не важно какой вредонос туда писать начал.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 5 сентября 2019 21:09 New!
Цитата · Личное сообщение · #19

f13nd
удалить через лайв-сиди можно, конечно. Тут цель была больше разобраться.

difexacaw
он не дает. Я не эксперт в руткитах, но - вот тулза от авера еп_кс0фф и AVZ не смогли ничего сделать. Что еще можно попробовать?


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 5 сентября 2019 21:24 · Поправил: difexacaw New!
Цитата · Личное сообщение · #20

morgot

Он не может контролировать выборку, так как фильры ав находятся в нулевом кольце", ниже нет уровня котроля, кроме гпв. Авер это врядле использует. Обычные штатные патчи в ядре, я давно это дерьмо не смотрел, но врядле что то изменилось. Во первых если даже гипер в разработке, то это не будут использовать много лет, так как будет крэшить ось. А сейчас синь явление очень редкое..

| Сообщение посчитали полезным: Crawler



Ранг: 258.5 (наставник)
Статус: Участник

Создано: 5 сентября 2019 21:50 · Поправил: f13nd New!
Цитата · Личное сообщение · #21

difexacaw пишет:
Точнее обнаружит где он насрал и испортил системные структуры и код.

Во времена до ХР SP3 очень лихо можно было восстанавливать sdt с юзермода и большинство проактивок переставали работать даже не жалуясь. Там вроде никогда особо не заморачивались с тем чтоб лезть глубоко. Если этот драйвер проделает примерно то же самое с кернел мода, есть хорошие шансы выключить эту самозащиту.
ЗЫ: вру, там кол гейт был доступен.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 5 сентября 2019 21:50 New!
Цитата · Личное сообщение · #22

difexacaw
значит, есть какая-то неизвестная нам матчасть. или я что-то делаю криво. Хз. Вот ради интереса скачал еще GMER - он тоже не может удалить службу / файл, убить процесс. Короче - ничего.

В общем, итог - авер неудаляем штатными средствами, винда заражена им наглухо, как будто рак 4ой стадии и метастазы везде.


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 5 сентября 2019 22:10 New!
Цитата · Личное сообщение · #23

f13nd

> ЗЫ: вру, там кол гейт был доступен.

Был такой, использовали школьники через запись в ядро из секции физмем, только не читали маны и не знали что он крэшит ось если вызвать из под отлачика(#DB в ядре).

morgot

Нужны подробные детали, давно уже аверов никто не реверсит. Вполне ожидаемо что где то вне обычных обьектов ставится фильтр. По норм что бы выяснить нужно пройти км дебагом.


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 5 сентября 2019 22:47 New!
Цитата · Личное сообщение · #24

difexacaw пишет:
Нужны подробные детали,

у меня знаний не хватает, а больше никому не надо. Разве что у кого-то заказать реверс-обзор за рубли, хотя врядли найду кого. Но интересно все же до конца разобраться.


Ранг: 331.0 (мудрец)
Статус: Участник

Создано: 6 сентября 2019 03:18 New!
Цитата · Личное сообщение · #25

morgot

Можно покопать, софос" ?. Займусь этим когда крэкми доделаю.

Ранг: 254.5 (наставник)
Статус: Участник

Создано: 6 сентября 2019 05:50 New!
Цитата · Личное сообщение · #26

difexacaw пишет:
когда крэкми доделаю

Зачем ты растрачиваешь свои знания на крэкми? Сделай лучше какой-нибудь полезный и приятный инструмент, который принесет пользу комьюнити


Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 8 сентября 2019 03:46 New!
Цитата · Личное сообщение · #27

Решил потестить еще 1 вещь --->native api shell<--. Руссинович пишет, что native api приложения загружаются раньше служб и юзермодных процессов, а готовый инструмент заюзал, дабы по быстрому потестить и не кодить самому. Удивительно, но пишет что запущено всего 4 процесса (включая мой), но все же, файлы не удаляются. Ошибки не могу проверить, надо самому видимо кодить.

Но как такое может быть? Если ничего не запущено, то что же блокирует файлы ? Вся эта неведомая матчасть по ACL? Или же аверские дрова загружаются еще раньше smss.exe (а я что-то не так понял в Руссиновича).


Ранг: 556.6 (!)
Статус: Участник
оптимист

Создано: 8 сентября 2019 03:59 New!
Цитата · Личное сообщение · #28

Подключаешь диск к другому компу и удаляешь спокойно


Ранг: 213.9 (наставник)
Статус: Участник
X-Literator

Создано: 9 сентября 2019 10:58 New!
Цитата · Личное сообщение · #29

morgot
На 100% никаких аверских дров в этом случае не загружается. А матчасть по ACL вовсе не "неведомая", там всё просто, как три рубля. Делаешь себя владельцем файла, потом - ICACLS с параметрами, чтобы позволить себе удалить файлы. Всё, никакой магии. Это можно сделать и без нативных режимов.

| Сообщение посчитали полезным: morgot



Ранг: 54.9 (постоянный)
Статус: Участник

Создано: 9 сентября 2019 22:13 New!
Цитата · Личное сообщение · #30

ClockMan так да, но хотелось бы программно.

Crawler вот в этой матчасти (права безопасности винды) я сильно плаваю. Что можно почитать на эту тему, как я понимаю, это из серии материалы для сисадминов? Имею ввиду, чтобы вручную делать.
И , наверное, поэтому не дает удалить с натив апи?
. 1 . 2 . >>
 eXeL@B —› Вопросы новичков —› Как удалить неудаляемые приложения (антивирусы)

Видеокурс ВЗЛОМ