Buenas quien sabe cual es la clave del registro que dice que AV tiene uno instalado me recuerdo que
la tenia guardada en alguna parte pero se me perdio :P en valor de clave era algo asi como Nod32, Kaspersky Security, etc
Hola,
creo saber a que te refieres pero tampoco lo recuerdo específicamente pero yo te recomendaría que lo hagas utilizando una pequeña base de datos con los nombres de los procesos de los antivirus, y compares todos los procesos con cada uno de ellos, seguro te será muy efectivo.
Un saludo.
No existe ninguna clave donde este esa información. Usa WMI para obtener la lista de aplicaciones de seguridad instaladas.
que raro entonces yo recuerdo que encontre algo asi :P
seria curioso entonces saber como algunos productos detectan que av tiene uno instalado en la maquina :P
Pero haran lo que te dice Swash, verificaran los procesos que tiene la pc con los de los avs conocidos y si uno coincide bingo! es ese el que tiene instalado
pues alguna manera habrá porque el propio Windows sale la alerta de seguridad si no hay ningún antivirus o actualizado instalado :P
No se si habéis leído mi respuesta :rolleyes: Se lee en la WMI
En W$>=Vista hay algunas APIs para trabajar con el gestor de seguridad que lleva... pero con WMI puedes... Ejecuta este comando en la shell y lo veras:
wmic /namespace:\\root\SecurityCenter PATH AntiVirusProduct GET /value
@karcrack probe esa y no me funciono :P
estoy en W7 y me escribe: no hay instancias disponibles...
Para W$7:
wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value
Gracias por la informacion karcrack, si encuentro algun metodo o implemento uno lo posteo (Y)
Habra que poner detectores de modificacion e instalar un A.V. para ver donde y que modifican, o revisar un SRC.
Dulces Lunas!¡.
bien, un snapshot al reg o bien es cierto por ahí andaba el src del KIS por cierto buen antivirus la cosa es
rebuscarse por encontrar el metodo yo me animaria a leer un poco el KIS pero esta en delphi parece xD
si estuviese en c++ o asm lo haria :P
Si no mal recuerdo era c/c++... no recuerdo bien creo que aun lo tengop... igual no es el SRC completo...
Dulces Lunas!¡.
Si utilizas la técnica del Snapshot observarás que cada AV hace lo que le da la gana :laugh: Yo ya probé con NOD32 y Avast... sin éxito :P
Bueno les traigo este AV OpenSource quisas sirva de algo, vere que encuentro...
http://sourceforge.net/potm/potm-2005-02.php
Dulces Lunas!¡.
Con Win7:
wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value
Funciona a la perfección, recuerda ejecutarlo con permisos de admin.
No soy malware writer, pero analizando malware... no crean una pipe para poder ejecutar comandos de la shell de win?
Nox.
Se me a ocurrido averiguar como obtienen ese dato los troyano actuales... que en el listview muestran el nombre del AV
no tengo src de uno de ellos...
Te ahorro el análisis: Lo hacen con WMI.
Si eliminas la entrada en la WMI de los AVs verás como el RAT no es capaz de identificar nada. A no ser que el RAT revise uno por uno los procesos de todos los posibles AV :laugh:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa394582%28v=vs.85%29.aspx
http://msdn.microsoft.com/en-us/library/windows/desktop/aa389762%28v=vs.85%29.aspx
En la primera busqueda...
Nox.