eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: hlmadip, AlexsandrS, Mishar_Hacker (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Как убить драйвер x64
Посл.ответ Сообщение


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 12 января 2012 22:39 New!
Цитата · Личное сообщение · #1

Есть windows 7 x64, задача - выгрузить драйвер касперского 2012 (самозащита отключена). Как и чем? На хрюше 32 RkUnhooker помогал. Интересует именно "убийство" драйвера насильно так сказать.


Ранг: 1997.8 (!!!!)
Статус: Модератор
retired

Создано: 12 января 2012 23:10 New!
Цитата · Личное сообщение · #2

Во-первых, с какой целью интересуешься?
А во-вторых, при чём тут этот форум?


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 13 января 2012 00:01 New!
Цитата · Личное сообщение · #3

Во-первых с целью допиливания сброса триала.
Дело в том что в касперском 2012 в отличие от предыдущих версий приходится перезагружать комп для сброса триала. Это происходит из-за того что каспер добавляет метку в профиль встроенной учетной записи администратора, а именно пишет кучу символов в комментарий пользователя. Сама метка сбрасывается легко, но триал слетает только после перезагрузки. Есть подозрение что за меткой следит драйвер.

Во-вторых это косвенно относится ко взлому программ


Ранг: 106.9 (ветеран)
Статус: Участник

Создано: 13 января 2012 00:19 New!
Цитата · Личное сообщение · #4

depler пишет:
выгрузить драйвер касперского

Нельзя его выгрузить.

depler пишет:
RkUnhooker помогал

Помогал от чего? Видимо просто хуки снимал..

depler пишет:
Сама метка сбрасывается легко, но триал слетает только после перезагрузки. Есть подозрение что за меткой следит драйвер.

Ну тут только разбирать драйвер. Если на x32 проблема разрешима, то выясни конкретнее, какие действия отключают контроль драйвера.

Ранг: 116.5 (ветеран)
Статус: Участник

Создано: 13 января 2012 03:34 New!
Цитата · Личное сообщение · #5

как полагаю дело в обходе проактивки))) а что мешает создать файл с доп.секциями - которые всегда являлись слабым местом каспера?


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 13 января 2012 15:21 · Поправил: depler New!
Цитата · Личное сообщение · #6

sats вообще не о том речь, обход проактивки каспера не интересует

Почитал по форумам, действительно каспер сохраняет свое состояние (или хз что еще) в драйвере

Oott пишет:
Нельзя его выгрузить.

Почему нет? Ну даже если нет как снять хуки наподобие UnHooker'a в x64 (свой дравер писать пока не собираюсь)? Попробую и правда на x32 покопать


Ранг: 106.9 (ветеран)
Статус: Участник

Создано: 13 января 2012 21:52 · Поправил: Oott New!
Цитата · Личное сообщение · #7

depler пишет:
Почему нет?

Как ты себе это представляешь, вызвать процедуру DriverUnload? Не думаю что в том драйвере даже предполагалась выгрузка. Посему самый просто способ выгрузить, это при загрузке системы его не загружать. В теории вообще выгрузить дровниу возможно, многое будет зависит конкретно от драйвера. Для этого нужно сначало безопасно завершить выполнение потоков, затем подделать процедуру выгрузки. Придется хорошенько поресерчить дровину, задача не тривиальная. А если ещё и суть вся в хуках, то накой тебе этот драйвер выгружать?

depler пишет:
Ну даже если нет как снять хуки наподобие UnHooker'a в x64

Как UnHooker уже не получится, ибо в x64 ставить хуки также лихо, как и в x32 каспер не может. Сплайсить он точно ни чего не будет, остаются фильтры и колбеки. Хотя возможно там юзаются легальные хуки типа detours, я не знаю, здесь надо ресерчить. Спроси лучше малварщиков, у всяких там клерков, такое должны знать.

Ранг: 131.5 (ветеран)
Статус: Участник

Создано: 14 января 2012 08:31 New!
Цитата · Личное сообщение · #8

depler
Начнем с того что драйвер выгружать, а тем более "убивать" (что это вообще такое? прибитие системных потоков и анмап памяти что-ле? что за лол вообще) небезопасно. Кроме того у каспера вполне может и не быть unload процедуры, а shutdown системы он может ловить через другие нотификаторы. И наконец, если такая процедура все-таки есть, то она наверняка содержит ключ - защиту от вызова всякими левыми приложениями. Можно попробовать вызвать перезагрузку, а перед этим заблокировать загрузку драйверов каспера, так чтобы после перезагрузки они не загрузились. Так что видимо без ребута никак.


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 14 января 2012 13:00 New!
Цитата · Личное сообщение · #9

Обидно, похоже и правда без ребута никак. Всем спасибо, тема закрыта
 eXeL@B —› Софт, инструменты —› Как убить драйвер x64
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS