Clave para saber AV instalado?

BlackZeroX · 28 Enero 2012, 00:44 AM

Habra que poner detectores de modificacion e instalar un A.V. para ver donde y que modifican, o revisar un SRC.

Dulces Lunas!¡.

x64core · 28 Enero 2012, 02:37 AM

bien, un snapshot al reg o bien es cierto por ahí andaba el src del KIS por cierto buen antivirus la cosa es
rebuscarse por encontrar el metodo yo me animaria a leer un poco el KIS pero esta en delphi parece xD
si estuviese en c++ o asm lo haria

BlackZeroX · 28 Enero 2012, 07:16 AM

Si no mal recuerdo era c/c++... no recuerdo bien creo que aun lo tengop... igual no es el SRC completo...

Dulces Lunas!¡.

Karcrack · 28 Enero 2012, 15:40 PM

Si utilizas la técnica del Snapshot observarás que cada AV hace lo que le da la gana

Yo ya probé con NOD32 y Avast... sin éxito

BlackZeroX · 29 Enero 2012, 23:54 PM

Bueno les traigo este AV OpenSource quisas sirva de algo, vere que encuentro...

http://sourceforge.net/potm/potm-2005-02.php

Dulces Lunas!¡.

Distorsion · 31 Enero 2012, 15:57 PM

Con Win7:

wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value

Funciona a la perfección, recuerda ejecutarlo con permisos de admin.

Иōҳ · 14 Febrero 2012, 05:35 AM

No soy malware writer, pero analizando malware... no crean una pipe para poder ejecutar comandos de la shell de win?

Nox.

x64core · 17 Febrero 2012, 01:51 AM

Se me a ocurrido averiguar como obtienen ese dato los troyano actuales... que en el listview muestran el nombre del AV
no tengo src de uno de ellos...

Karcrack · 17 Febrero 2012, 17:43 PM

Te ahorro el análisis: Lo hacen con WMI.

Si eliminas la entrada en la WMI de los AVs verás como el RAT no es capaz de identificar nada. A no ser que el RAT revise uno por uno los procesos de todos los posibles AV

Иōҳ · 17 Febrero 2012, 19:05 PM

http://msdn.microsoft.com/en-us/library/windows/desktop/aa394582%28v=vs.85%29.aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/aa389762%28v=vs.85%29.aspx

En la primera busqueda...

Nox.