Agregar ejecutable a lista de permitidos del AV

Vaagish · 1 Diciembre 2013, 07:18 AM

Yo no probé aun, pero lo voy a intentar.. resulta que tengo 2 versiones de avast instaladas,, una en la pc del trabajo y la otra en casa, en la versión del trabajo me salta la ventana de "enviar al baúl o permitir" al inyectar una dll en cualquier proceso, y en la de casa no. El lunes voy a empezar a hacer pruebas, a ver si es tan complicado..

Saludos!!

PD: Lo bueno de mi trabajo es que tengo 8 maquinas a mi disposición, y programo 8 hs por día..

Karcrack · 1 Diciembre 2013, 17:03 PM

Cita de: x64Core en 30 Noviembre 2013, 18:43 PM
Que estas hablando? Acaso lo haz comprobado por ti mismo para decir algo como eso? Procmon no es bloqueado por antivirus, el ejecutable y el driver estan firmados por Microsoft. De lo contrario indicá qué Antivirus esta bloqueando o detectando eso de dices que hacen.

Creo que no entendiste mi comentario... Sólo dije que RegShot es mejor ya que no es posible detectarlo. Imagino que en eso estás de acuerdo conmigo...

Cita de: Vaagish en 1 Diciembre 2013, 07:18 AM
Yo no probé aun, pero lo voy a intentar.. resulta que tengo 2 versiones de avast instaladas,, una en la pc del trabajo y la otra en casa, en la versión del trabajo me salta la ventana de "enviar al baúl o permitir" al inyectar una dll en cualquier proceso, y en la de casa no. El lunes voy a empezar a hacer pruebas, a ver si es tan complicado..

Saludos!!

PD: Lo bueno de mi trabajo es que tengo 8 maquinas a mi disposición, y programo 8 hs por día..

Actualiza a la última versión para tener pruebas consistentes

Suerte!

x64core · 1 Diciembre 2013, 17:12 PM

Cita de: Karcrack en 1 Diciembre 2013, 17:03 PM
Creo que no entendiste mi comentario... Sólo dije que RegShot es mejor ya que no es posible detectarlo. Imagino que en eso estás de acuerdo conmigo...
Actualiza a la última versión para tener pruebas consistentes

Suerte!

Ocultarlo de programas Anti-Virus? Porqué alguíen querría ocultar Procmon de Anti-Virus?
Estamos hablando de filtrar datos de Anti-virus no de Malware.

Karcrack · 1 Diciembre 2013, 18:03 PM

Sencillamente digo que Procmon es mucho más intrusivo que RegShot (u otros analizadores en frío). En caso de que el AV hiciese comprobaciones (no lo he comprobado pero me parecería lógico) RegShot no deja rastro.

No desviemos más el tema con esto.

Vaagish · 1 Diciembre 2013, 18:48 PM

Chicos, ya fue.. lo importante es descubrir si se puede, hoy voy a hacer pruebas con el ultimo Avast, aunque no recuerdo haber visto la ventana famosa de "meter al baúl o permitir", por lo general el Avast me borra de una los "ejecutables maliciosos", de no tener esa opción, ya no hay punto de discusión.. Simplemente seria imposible, jeje
voy a tener que hacer un programa primero que me lleve a la ventana de "permitir programa", y después empezar las pruebas

daryo · 1 Diciembre 2013, 19:18 PM

edit:
respondi algo que no era ._.

Vaagish · 1 Diciembre 2013, 19:54 PM

Esta seria la ventana para agregar un ejecutable para que no se analice con SandBox, ahí se podría intentar agregar un ejecutable,..

Y esta otra es la ventana para agregar un archivo a la exclusiones en general, este archivo no se analizara, o todos los archivos con X extensión, si podemos modificar el comportamiento del antivirus desde modo usuario (Cosa que dudo mucho), podríamos encontrar un fallo grave de seguridad..

Saludos!!

Amigos! Encontré la ruta!!! (No fue muy complicado, para ser sincero..) ahora hay que ver si se puede escribir.. si todo sale bien, subo un código que haga todo automático..

CitarScanExceptions=<RW>?:\PageFile.sys;<RW>*\System.da?;<RW>*\User.da?;<RW>*.fon;<RW>*.txt;<RW>*.log;<RW>*.ini;<RW>*\Bootstat.dat;<W>*\firefox\profiles\*sessionstore*.js;C:\Documents and Settings\UFoxx\Escritorio\Downware2\Release\*

Y comprobado, al excluir un directorio del análisis, ni siquiera se comprueba con SandBox, o sea que.. si se puede escribir en ese archivo, se podría escalar a algo mejor, el antivirus no lo analizaría..

Saludos!

Karcrack · 1 Diciembre 2013, 22:37 PM

Con RegShot seguro que fue fácil

¿Está en el registro de Windows? De ser así espero que esté en HKLM

Aunque en Windows XP los privilegios de administrador no serán un problema jaja

Vaagish · 1 Diciembre 2013, 23:20 PM

CitarCon RegShot seguro que fue fácil

¿Está en el registro de Windows? De ser así espero que esté en HKLM Aunque en Windows XP los privilegios de administrador no serán un problema jaja

Si, una pasada.. es un INI el que guarda la información,, y ahora mismo me esta dando problemas, "Asegúrese de que el archivo no esta abierto por otra aplicación" (No podía ser tan fácil)

El archivo esta en All Users\Datos de programa\AVAST Software\Avast\FileSystemShield.ini

Código [Seleccionar]


[Common]
ProviderEnabled=1
[FileSystem]
ScanDLLOnLoad=1
ScanExceptions=<RW>?:\PageFile.sys;<RW>*\System.da?;<RW>*\User.da?;<RW>*.fon;<RW>*.txt;<RW>*.log;<RW>*.ini;<RW>*\Bootstat.dat;<W>*\firefox\profiles\*sessionstore*.js
ScanOnExecute=1
ScanScriptsOnExecute=1
ScanOnOpenAllFiles=0
ScanOnOpenCustomExtensions=0
ScanOnOpenDocuments=1

Por lo que veo, las opciones de configuración están separadas en "módulos" (Diferentes archivos ini) Estos serian: NetworkShield, WebShield, IMShield, ScriptShield, EmailShield,, cada uno corresponde a cada modulo de seguridad del AV.

Ya por hoy, tengo que dejar la investigación.. pero mañana le doy palo jejeje

Saludos! y Gracias!

Karcrack · 2 Diciembre 2013, 01:16 AM

Vas a tener que sufrir un poco jaja
Para empezar tendrás que averiguar que proceso posee el handle al fichero: http://technet.microsoft.com/en-us/sysinternals/bb896655 o http://technet.microsoft.com/es-es/sysinternals/bb896653
Después tendrás que cerrarlo...

Todo esto, por cierto, requerirá privilegios de administrador...

EDIT: AvastSvc.exe es el dueño del fichero