Самозащита Avira 9.

[priv8v 960]

Ого. Какой ажиотаж вокруг этой темы...

Что бы каждый мог поучаствовать в этом деле с реальными инструментами тестера (мини лик-тестами) предлагаю сделать следующее:

(я быстро накидал это сейчас - проверил - работает на тест.ехе, который не запущен - а больше и не надо)

#include <windows.h>#include <stdio.h>int main () {        char sNewName[512];    char sOldName[]="C:\\test.exe"; /* путь к файлу, который хотим преименовать, а затем удалитьбудьте внимательны - обязательна двойная косая черта - \\ т.е путь до файла будет выглядеть примерно так:C:\\Program Files\\Avira\\avira_file.exeкавычки не трогайте, пишите только внутри них - в образце все показано. пример рабочий - переименовывает и удаляет файл test.exe в корне диска C*/    char sOld[]=".old";    int Result1, Result2;    strcpy(sNewName, sOldName);    strcat(sNewName, sOld);    Result1 = rename (sOldName, sNewName);    if (Result1) {                 MessageBox(0, "Rename operation - fatal error!", "Error", MB_OK | MB_ICONERROR);                 ExitProcess(0);                 }    Result2 = DeleteFile(sNewName);    if (!Result2) {                 MessageBox(0, "Delete operation - fatal error!", "Error", MB_OK | MB_ICONERROR);                 ExitProcess(0);                 }    MessageBox(0, "Check result!", "OK", MB_OK | MB_ICONINFORMATION);    ExitProcess(0);    }

А компилировать можете и в онлайне, если нет на компьютере компилятора:

http://c.kikimor.ru/

Так будет более предметно)))

Можете модифицировать его по собственному усмотрению и добавить туда функций - так всем будет понятнее чем если просто писать словами...

Но лично я склоняюсь к мнению Skeptic

[3TE116 45]

Так пробую на страх и риск,боюсь,что завтра буду потеть восстанавливать

Правильно ли я сделал

#include <windows.h>#include <stdio.h>int main () {        char sNewName[512];    char sOldName[]="х:\\avconfig_old.exe";/*х:\Program Files (x86)\Avira\AntiVir Desktop\\avconfig.exe*/    char sOld[]=".old";    int Result1, Result2;    strcpy(sNewName, sOldName);    strcat(sNewName, sOld);    Result1 = rename (sOldName, sNewName);    if (Result1) {                 MessageBox(0, "Rename operation - fatal error!", "Error", MB_OK | MB_ICONERROR);                 ExitProcess(0);                 }    Result2 = DeleteFile(sNewName);    if (!Result2) {                 MessageBox(0, "Delete operation - fatal error!", "Error", MB_OK | MB_ICONERROR);                 ExitProcess(0);                 }    MessageBox(0, "Check result!", "OK", MB_OK | MB_ICONINFORMATION);    ExitProcess(0);    }

[Skeptic 235]

Путь такой: "C:\\Program Files\\Avira\\AntiVir Desktop\\avconfig.exe"

Результат:

[priv8v 960]

Правильно ли я сделал

нет. путь задается в пятой строчке, а все, что между /* */ - это комментарии, которые компилятор не воспринимает (там были как раз мои пояснения написаны).

Задавать путь нужно в пятой строке примерно так:

#include <windows.h>

#include <stdio.h>

int main () {

char sNewName[512];

char sOldName[]="х:\\Program Files\\Avira\\AntiVir Desktop\\avconfig.exe";

....

Только х - нужно заменить на имя диска (С или какой там...).

Путь такой: "C:\\Program Files\\Avira\\AntiVir Desktop\\avconfig.exe"

Результат:

логичный результат. почему у ТС получается что-то переименовывать - я не знаю.

[Ingener 150]

-

[Deja_Vu 366]

Такая вот петрушка. Боюсь, что это баг именно ASS, а в премиуме все хорошо.

И у меня тоже можено через AnVirTM отрубить процессы, отключить их и т.д.

[Skeptic 235]

Боюсь, что это баг именно ASS, а в премиуме все хорошо.

Так ведь у 3TE116 Авира Премиум. В подписи так и написано: "Антивир Премиум на 3 года". А переименовывалось, насколько я понял, тоже без проблем...

[3TE116 45]

Переименовалось без проблем,но удалять не стал,а то потом прийдётся мучатся с переустановкой.Так я понимаю,что если файлы Авиры переименовать и удалить,тогда накроется.Тогда вопрос,а где тогда Гипс или самозащита файлов от вторжения.

Ночью плохо спал идеи прорабатывал.

Я к чему так подумал.Помните Авира ругалась на User32.dll?Его надо было переименовать итд.

Так вот я думаю,если вирусу будет под силу файлы переименовать и вместо них себя поставить,естественно,антивир понимая,что что-то там неккоректно и без шуму и пыли закрывается,а дальше вирусу остаётся втихаря удалить и будь здоров.Так что тогда получается,что защиты своих файлов - нету.

Значит у некоторых процессы всё-таки вырубаются.Был намёк на дрова,а если ещё их переименовать при работающем Антивире и при деактивированом.Интересно,какие результаты будут?Гипс сработает или нет?

UPD: Допустим вирус удаляет сначало ключ,а дальше уже действует по системе,что я описал выше.Интересно,как Гипс сработает.

[Deja_Vu 366]

Skeptic

скинь скриншот окна версии у твоей авиры pls.

[Skeptic 235]

Skeptic

скинь скриншот окна версии у твоей авиры pls.

Уно моменто:

[p2u 824]

если вирусу будет под силу файлы переименовать и вместо них себя поставить,естественно,антивир понимая,что что-то там неккоректно и без шуму и пыли закрывается,а дальше вирусу остаётся втихаря удалить и будь здоров.

Хочу отметить, что так только хулиганы делают, так как пользователь сразу же заметит такую атаку. Хитрее бывает, когда оставляют защиту в живых, но клиническая смерть впринципе уже наступила - защита делает вид, что работает. Это менее заметно, и поэтому опаснее... И зловред типа руткит может вообще отфильтровать то, что Windows должна передавать программе защиты...

P.S.: Лучше, чем не спать ночью - сидеть как ограниченный пользователь... В 90-95% случаев там такое невозможно...

Paul

[Skeptic 235]

Опять поступает информация, что подглючивает именно русскоязычная версия... 3TE116, у вас какая локализация?

[3TE116 45]

ENG

[Skeptic 235]

А на вкладке Security - вот так?

[p2u 824]

ENG

Скорее всего влияет окружающая среда - что ещё установлено. Иногда даже (как ни странно!) видеокарта, эмуляторы типа Алькогол120%, и т.д. Надо бы сравнить конфигурацию систем, где это удаётся, с теми где нет...

Paul

[Skeptic 235]

Скорее всего влияет окружающая среда - что ещё установлено. Иногда даже (как ни странно!) видеокарта, эмуляторы типа Алькогол120%, и т.д. Надо бы сравнить конфигурацию систем, где это удаётся, с теми где нет...

Paul

С ума сойти... у меня во "всех программах" 65 строчек... правда, нет никаких эмуляторов дисков, антиспаев и файерволлов

[Ingener 150]

-

Отредактировал Август 3, 2009 Ingener

[p2u 824]

Вычитал в интернете, что руткит может выгрузить любой драйвер или dll следующим способом:

Да, да... На cracklab недавно такое было. Думаю, что те, которые должны знать уже знают, о чём речь идёт.

Если администраторы одобрят могу дать название программы, которая это делает, судя по её описанию.

Думаю, что каждый сам найдёт если введёт отрывок вашего описания в Гугл.

Что вы думаете об этом способе выгрузки модулей антивирусов и представляет ли он реальную опаснось?

Опасно, естественно, если вы только полагаетесь на антивирус. Для меня неважно каким способом хотят меня поиметь - хотя у меня программ защиты нет (кроме подарка от Агнитум - Outpost Firewall 2009 Free), я не боюсь ничего; я просто не допущу, чтобы хоть что-нибудь попало на комп, которое я сам не заказал...

Paul

[Skeptic 235]

Вот ещё тема для дискусии.

С помощью тогоже AnVir Task Manager ищем авировские драйверы:

avipbb, avfwot и avgio - можно и остановить и отменить автоматический запуск,

avgntflt - остановить нельзя, но можно отключить автоматический запуск.

Галочки на защите файлов и процессов в Avira PSS9 у меня стоят.

Это интересно. Останавливаются. На работе антивира это внешне никак не сказывается.(?). После перезагрузки они снова запускаются. А вот изменить порядок запуска - нельзя без контрольного алерта с вопросом:

Чем чревата остановка avipbb, avfwot и avgio в рамках текущей сессии?

[Ingener 150]

-

Отредактировал Август 3, 2009 Ingener

[priv8v 960]

да. по ходу дела багов они оставили...

может стоит написать о них им на форум?.. (на английский)

[Ingener 150]

-

[Skeptic 235]

Тем кто грамотно может описать суть данных багов и свободно владеет английским стоит конечно написать письмо им на форум. Я от силы на "ломанном" немецком могу написать. Так что давайте писать петицию...

Написать можно будет. Нужны будут скрины - переименованных процессов (окно папки Авиры со стрелками).

Скрин Окна Анвира с остановленными драйверами могу сделать сам.

[Ingener 150]

-

[Skeptic 235]

1) возможность отменить автоматический запуск сервисов (а не остановить!) (только не надо опять писать, что только после контрольного окошка AnVir TM. Насколько я понимаю это окошко чисто AnVir TM в котором он спрашивает подтверждение - а не окошко винды.)

Насколько я понимаю, это окошко анвира возникает потому, что такие данные - о важности сервиса - ему передает Винда. Поэтому разницы нет. А вручную - в принципе у любого сервиса можно отключить автозагрузку - перейти в консоль сервисов и поменять "авто" на "отключено". Является ли это проблемой и серьезной уязвимостью, я не уверен. Интересно, неужели админ ну никак не может отключить сервисы того же Каспера?