Есть windows 7 x64, задача - выгрузить драйвер касперского 2012 (самозащита отключена). Как и чем? На хрюше 32 RkUnhooker помогал. Интересует именно "убийство" драйвера насильно так сказать.

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Во-первых, с какой целью интересуешься?
А во-вторых, при чём тут этот форум?

| Сообщение посчитали полезным:

Во-первых с целью допиливания сброса триала.
Дело в том что в касперском 2012 в отличие от предыдущих версий приходится перезагружать комп для сброса триала. Это происходит из-за того что каспер добавляет метку в профиль встроенной учетной записи администратора, а именно пишет кучу символов в комментарий пользователя. Сама метка сбрасывается легко, но триал слетает только после перезагрузки. Есть подозрение что за меткой следит драйвер.

Во-вторых это косвенно относится ко взлому программ

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
выгрузить драйвер касперского
Нельзя его выгрузить.

depler пишет:
RkUnhooker помогал
Помогал от чего? Видимо просто хуки снимал..

depler пишет:
Сама метка сбрасывается легко, но триал слетает только после перезагрузки. Есть подозрение что за меткой следит драйвер.
Ну тут только разбирать драйвер. Если на x32 проблема разрешима, то выясни конкретнее, какие действия отключают контроль драйвера.

| Сообщение посчитали полезным:

как полагаю дело в обходе проактивки))) а что мешает создать файл с доп.секциями - которые всегда являлись слабым местом каспера?

| Сообщение посчитали полезным:

sats вообще не о том речь, обход проактивки каспера не интересует

Почитал по форумам, действительно каспер сохраняет свое состояние (или хз что еще) в драйвере

Oott пишет:
Нельзя его выгрузить.
Почему нет? Ну даже если нет как снять хуки наподобие UnHooker'a в x64 (свой дравер писать пока не собираюсь)? Попробую и правда на x32 покопать

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
Почему нет?
Как ты себе это представляешь, вызвать процедуру DriverUnload? Не думаю что в том драйвере даже предполагалась выгрузка. Посему самый просто способ выгрузить, это при загрузке системы его не загружать. В теории вообще выгрузить дровниу возможно, многое будет зависит конкретно от драйвера. Для этого нужно сначало безопасно завершить выполнение потоков, затем подделать процедуру выгрузки. Придется хорошенько поресерчить дровину, задача не тривиальная. А если ещё и суть вся в хуках, то накой тебе этот драйвер выгружать?

depler пишет:
Ну даже если нет как снять хуки наподобие UnHooker'a в x64
Как UnHooker уже не получится, ибо в x64 ставить хуки также лихо, как и в x32 каспер не может. Сплайсить он точно ни чего не будет, остаются фильтры и колбеки. Хотя возможно там юзаются легальные хуки типа detours, я не знаю, здесь надо ресерчить. Спроси лучше малварщиков, у всяких там клерков, такое должны знать.

| Сообщение посчитали полезным:

depler
Начнем с того что драйвер выгружать, а тем более "убивать" (что это вообще такое? прибитие системных потоков и анмап памяти что-ле? что за лол вообще) небезопасно. Кроме того у каспера вполне может и не быть unload процедуры, а shutdown системы он может ловить через другие нотификаторы. И наконец, если такая процедура все-таки есть, то она наверняка содержит ключ - защиту от вызова всякими левыми приложениями. Можно попробовать вызвать перезагрузку, а перед этим заблокировать загрузку драйверов каспера, так чтобы после перезагрузки они не загрузились. Так что видимо без ребута никак.

| Сообщение посчитали полезным:

Обидно, похоже и правда без ребута никак. Всем спасибо, тема закрыта

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным: