Mensajes

Bueno Mad, para gustos colores....la verdad es que con C se pueden hacer cosas como estas, y con ASM igual....por cierto, si quieres un buen lenguaje mirate el C#, segurisimo que te gusta

Passsssssoooooo, llámame cabezón pero le he pillado gusto al VB6 y cualquier otro lenguaje me resulta muy complicado. Seguiré fiel al VB6 y COMO MUCHO me paso a .Net

xD

Mad se nota que te estás perdiendo la mitad de tu vida al no saber compilar en C 

Ya, pero es que no me gusta C. Lo he intentado pero me aburre con suma facilidad, me quedo con VB

Por cierto, quien eres?

Si, cuando insertas un driver no es necesario reiniciar el equipo (por ejemplo el Process Explorer de Sysinternals aloja un driver SYS temporal y no requiere reinicio).

De todas formas si esta parece ser la unica posibilidad de matar el KAV creo que voy a pasar de él y no la implementaré en el Joiner, ahora te dejo la info para crear el driver para matar el KAV



Lo que yo haría sería crear un driver que volcara todo el contenido que hay en la memoria que aloja el driver del KAV, es decir... La idea es conseguir un LOG donde se muestren las llamadas a las APIS que hace el driver del KAV, saber si carga otros drivers, que instrucciones ejecuta, etc...

Una vez con esta información en nuestro poder podríamos centrarnos en atacar esos otros drivers del propio Windows o a las APIS que permiten monitorear todo el sistema

Esta es mi idea, no se si servirá de algo. Lo que si se es que no es tarea facil

Se nos han adelantado.... recuerdo hace meses que ANELKAOS advirtió de un bug en KAV que permitía la ejecución de código remoto, para ello se basaban en un bug del driver klif.sys

Aqui la review

Este método era bueno, explotar un bug própio del driver, aunque ahora ya está parcheado...

Sobre los 3 drivers, uno de ellos es para monitorear el AV el otro el Frw y el otro es una protección adicional.

[%SystemRoot%\System32\drivers\kl1.sys%SystemRoot%\System32\drivers\klif.sys%SystemRoot%\System32\drivers\klim5.sys]

Y la otra forma se puede hacer desde Ring3, pero según Hendrix eso es imposible hacerlo en VB, la solución sería escribir directamente en el disco duro...es decir, escribir directamente en un sector X de archivo X longitud directamente, lo primero sería hayar el sector del driver, después la longitud (facil) y por ultimo escribir en ese sector del disco con 0's por ejemplo...el driver no te va a poner restriccion alguna pork tocas directamente el hardware...

La idea es buena y funcionaría si se tratara de un proceso y no de un driver, me explico... El KAV usa 3 drivers guardados en

%SystemRoot%\System32\drivers\kl1.sys
%SystemRoot%\System32\drivers\klif.sys
%SystemRoot%\System32\drivers\klim5.sys

Sólo uno de estos 3 drivers es el encargado de las protecciones y los otros 2 se protegen entre sí (esta información esta en el registro). La idea de Hendrix es sobreescribir estos archivos directamente en el sector del disco duro, pero para este caso no serviría de nada, pues los drivers SON CARGADOS EN MEMORIA AL INICIO DEL SISTEMA.

Para poner en practica la idea de Hendrix tendriamos que cambiar la palabra "disco duro" por "memoria RAM" dejando su teoría en:

Crear un programa que localizara los sectores de la memoria RAM donde se hallen cargados los drivers para sobreescribirlos, CON EL INCONVENIENTE que ese espacio de RAM ha sido reservado (con un simple mAlloc por ejemplo) desde Ring0.

O lo que es lo mismo, no puedes modificar un espacio de memoria que ya ha sido reservado por un "usuario" más fuerte que tú (Ring0).



Vamos, que nos olvidemos de cargarnos esos 3 drivers, es imposible (o al menos es imposible cargarselos sin necesidad de reiniciar).

Alguna idea más? xD

A ver, esto del driver que deja el KAV en modo Ring0 no es problema y he conseguido matar el AntiVirus Karspersky 7.0 desde VB6 sin usar el comando AT ni drivers. El único problema es que para que el AV-Killer del KAV funcione requiere un reinicio del PC, y claro, implementar esto en un Joiner es una tontería.

Esto mismo me ocurre con el AVG Free Antivirus (sí, sí, un antivirus gratuito!), me es imposible matarlo sin necesidad de reiniciar el PC antes.

Alguna idea?

Los demás AntiVirus del listado están todos muertos, no he usado ni elevaciones de privilegios (comandos AT ni similares) ni exploits, solo código VB6 puro y duro. Me quedan:

AVP (sin tener que reiniciar)
AVG (sin tener que reiniciar)
Norton 2007 (No me he puesto ni a intentarlo)
Panda (No me he puesto ni a intentarlo)
TrendMicro PC-Cillin (No me he puesto ni a intentarlo)



Por si alguien le interesa como matar el KAV con un reinicio solo decir que investiguen las ACL's, el comando SC y CACLS

[Kaspersky 7.0]

Hola gente, cuanto tiempo!!

Bueno, he estado liado con algunos temas personales pero ya vuelvo ha estar por aquí. He retomado el proyecto del Cactus Joiner y actualmente me estoy centrando en los módulos de AV-Killer para integrarlo todo en el Stub. Os dejo una Screen de lo que llevo hecho:



Ese es el listado que he pensado incluir en esta versión del Cactus, de momento he podido desactivar por código, todos los AV's que aparecen en la imagen excepto:

• Kaspersky 7.0: No encuentro la forma de detenerlo
• Norton 2007: No encuentro la forma de detenerlo
• Panda Internet Security: No lo tengo instalado, no podido probar de deshabilitarlo
• BitDefender v10: No lo tengo instalado, no podido probar de deshabilitarlo
• AVG Free 7.5: Lo consigo deshabilitar pero requiere un reinicio del sistema.
• Trend Micro PC-Cillin 2007: Lo tengo instalado y estoy trabajando actualmente con él.

Todos los demás (Nod32, McAffe, Avira, avast!, OnCare, etc...) los he conseguido deshabilitar a través de código VB6 y en menos de 5 segundos.

Alguien se anima y me ayuda a encontrar el método para los demás AntiVirus? Muchisimas gracias!!

Saludos!!

Ya intentaste con otra cuenta? Se k puede parecer muy raro pero al probar esta ultima version del freezer, probe blokear una cuenta en k normalmente probava los freezers y no me blokeo.

He porbado de bloquear otras cuestas y si funciona, pero la mia no se bloqueó. Muy raro :S

lol,Mad,has tenido suerte tu cuenta no se puede congelar,XD.
Es raro,sip.

Para que sí, no se. A lo mejor esto va a días. Uso el cliente de MSN 8.5 Beta, no creo que tenga nada que ver. Hasta luego!

No hombre, lo he probado desconectado, lanzo el programa, espero al 100% y entonces me conecto... pero lo hago sin ninguna dificultas. no se k pasa xD

A mi no me funciona ni el Ice Cold Reloaded ni el Iceberg 1.2.1 de Tughack ni el Source que ha posteado Kizar, he probado los 3 programas con mi propia cuenta y no hace ni cosquillas.

Quizás lo esté usando mal o algo. He pedido a un amigo mio qu eme congele la cuenta desde su PC y tampoco pudo, sabéis si es por alguna razón en concreto?

Gracias!