Как-то раз попалась мне тема, что ищется способ "убийства" (т.е. удаления с машины) авера. При этом человек писал, что есть полные (админские) права, но прога не удаляется. Ради интереса, скачал авер софос (это есть у многих, софос для примера) - действительно, после установки ничего не удаляется, что не делай, и что не запускай. Даже windows SRP не блокирует его.

Вопрос - почему так? Я понимаю, что последние годы идет тенденция к "защите от админа". Но как это вообще возможно? У аверов есть какие-то особые права, данные Майкрософтом (невыгружаемый драйвер, неубиваемый процесс), или же , такое теоретически может сделать любой шароварник, имеющий драйвер ? Где можно узнать технические детали работы такого софта? Мб кто реверсил, ибо у меня знаний по дровам / безопасности почти нет.

Реймонд Чен писал, что Windows решила оставить пользователям контроль над своими программами и данными, а администраторам - над их машинами. Поэтому пользователь может убить любой процесс, какой он захочет (если у него хватает на это прав), он может остановить любую программу, которая тырит фокус, и он может удалить любой файл, какой только захочет (опять-таки, если у него есть на это права). (--> отсюда <--, перевод.). Жаль, что эта политика изменилась.

| Сообщение посчитали полезным:

morgot

А какие детали вам нужны. Активность ав не отличима от вредоносной, они загружаются и патчат ядро, устанавливая км монитор. Он портит процессы, далее загружая монитор в юм.

-----
vx

| Сообщение посчитали полезным:

difexacaw
однако, неудаляемых малварей я не встречал. А вот авер - есть.
Я просто не пойму, у них какие-то расширенные привилегии? Ну вида какой-то гипервизор , особый серт от майкрософта, или как?
Почему его нельзя удалить штатными средствами винды?

| Сообщение посчитали полезным:

morgot пишет:
А вот авер - есть.
грузимся под акронисом и чистим там всё можно.
или под дос через нортон командер (без перезагрузки в фреедос)
никаких привилегий. чистит всё

| Сообщение посчитали полезным:

Просто в винде даже админ вынужден вести себя вежливо с сервисами и прочей ебурдой.
И пока сервис на попытку остановки не скажет "ОК, я свои дела закончил, можно и остановиться" - нифига не произойдёт.
Принудительные методы при этом до добра не доводят. Нарушишь коммуникацию между хуками антивиря и логикой, которая решает "пропустить или нет" - и получишь зависон или синьку.
Поэтому оптимально грузиться в безопасный режим и удалять сервисы напрямую через реестр.

| Сообщение посчитали полезным:

morgot пишет:
Вопрос - почему так? Я понимаю, что последние годы идет тенденция к "защите от админа".
Если у вас нет соответствующих привилегий, хер вы чё там выгрузите, будьте вы хоть админом, хоть службой.
Какая, в принципе, разница, как называется ваша учётка, если нет прав на выполнение действий?

Почитайте Руссиновича и поймёте более или менее, как эти механизмы работают))

А про принудительную выгрузку, в принципе, правильно сказали - если такая возможность есть, всё равно ей лучше не злоупотреблять.


>> Ну вида какой-то гипервизор , особый серт от майкрософта, или как?

В винде один штатный гипервизор) Сомневаюсь, чтобы антивирусы работали в этом режиме, хотя и не уверен. Скорее всего, просто нужные системные вызовы контролируются, да и всё.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
если нет прав на выполнение действий?
Почему у админа не может быть прав? Т.е. вот взять софос - если кто-то установит пароль, то его фиг удалишь , хоть ты суперадмин. Как то странно это. Я все понимаю, малварь, опасность, но - вот во времена ХР, когда малварь могла даже в ядро пролезть и куда угодно. Разве были неудаляемые вирусы ? Именно вот что надо было систему сносить? Не припоминаю. А софт такой есть. И, сегодня авер, а завтра будет стоять какая-то фигня от копирастов, что не даст пиратский фильм посмотреть. И никак не удалишь.

Меня тут удивило другое - я попробовал через Software restriction policy запретить выполнение софта. И не получилось? Как такое может быть? Или я криво сделал (но вроде нет), или права у авера выше системных. Вот что странно.

| Сообщение посчитали полезным:

morgot
Да ничего странного, это сделано для безопасности. Удалить можно практически что угодно (SDK выше написал, как именно, да и не только так - делаешь себя TrustedInstaller-ом, и можешь хоть всю винду снести нах), но если вы работаете в операционке, то лучше бы не было возможности просто так взять и снести антивирус.

Многие ещё жалуются на то, что нельзя отключить обновления винды (т.е. не просто там приостановить, отложить, а именно отключить). Это из той же оперы: отрубишь - и через 3 месяца пополнишь ряды ботнета из-за какой-нибудь RCE-хи в винде.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
делаешь себя TrustedInstaller-ом

лучше сначала системой, затем ti

| Сообщение посчитали полезным:

Не удаляется авер ни от система, ни от ti
понятно, что можно переустановить винду. Просто удивляет меня это. Не видел раньше такой софт.

| Сообщение посчитали полезным:

а вирусня с мбр и самовостановлением как же?morgot пишет:
Не видел раньше такой софт.

| Сообщение посчитали полезным:

morgot
Напиши прогу на Си, которая включает определенные привилегии, позволяющие сделать себя владельцем файла. Переназначь, поставь GRANT_ACCESS на свою группу пользователей, и после этого сноси файлы, предварительно выгрузив процессы и драйверы антивируса из памяти.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
которая включает определенные привилегии, позволяющие сделать себя владельцем файла
По-моему это без прог делается вкладкой "безопасность" в свойствах файла. Вместо выгрузки процессов и драйверов можно наоборот присвоить файлы себе, удалить все привилегии какие есть (снять галку "наследование" перед этим) и перезагрузить кампуцер. После чего включить например наследование привилегий и удалить.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd Мы о разных вещах говорим, похоже. Я про привилегии, которые имеются в токене процесса)

Если вручную, то да, тоже делается несложно, согласен))

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Мы о разных вещах говорим, похоже.
Про владельцев файлов это ntfs-права, с админскими правами в эксплорере с этим нету проблем.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Я плохо разбираюсь в безопасности винды. Но, вот пробую вручную изменить права на папку, пишет
"ошибка применение безопасности к ..тут имена файлов авера.. . Отказано в доступе". Ес-но от админа делаю.

Добавил еще раз через SRP по мануалу -->отсюда <-- , всю директорию. Некоторые файлы (вида унинсталлера, который и так бесполезен) перестали запускаться, но основные процессы дальше в строю. Этот момент меня больше всего удивляет, чего я и решил заняться этим авером. Почему и как авер выше политики винды?

| Сообщение посчитали полезным:

morgot пишет:
Почему и как авер выше политики винды?
Скорей всего перехватом по sdt опасные для самого себя действия заворачивает, не подпуская к этому винду. Проще всего тогда livecd каким-нибудь, типа цру-коммандера (cia commander) поудалять, если задача только избавиться от него.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd

Ничего не мешает запустить дров, который выпилит авера из системы на лету. Точнее обнаружит где он насрал и испортил системные структуры и код. Есть кучи тулз которые отменяют сотни всяких патчей ядра. Не важно какой вредонос туда писать начал.

-----
vx

| Сообщение посчитали полезным:

f13nd
удалить через лайв-сиди можно, конечно. Тут цель была больше разобраться.

difexacaw
он не дает. Я не эксперт в руткитах, но - вот тулза от авера еп_кс0фф и AVZ не смогли ничего сделать. Что еще можно попробовать?

| Сообщение посчитали полезным:

morgot

Он не может контролировать выборку, так как фильры ав находятся в нулевом кольце", ниже нет уровня котроля, кроме гпв. Авер это врядле использует. Обычные штатные патчи в ядре, я давно это дерьмо не смотрел, но врядле что то изменилось. Во первых если даже гипер в разработке, то это не будут использовать много лет, так как будет крэшить ось. А сейчас синь явление очень редкое..

-----
vx

| Сообщение посчитали полезным: Crawler

difexacaw пишет:
Точнее обнаружит где он насрал и испортил системные структуры и код.
Во времена до ХР SP3 очень лихо можно было восстанавливать sdt с юзермода и большинство проактивок переставали работать даже не жалуясь. Там вроде никогда особо не заморачивались с тем чтоб лезть глубоко. Если этот драйвер проделает примерно то же самое с кернел мода, есть хорошие шансы выключить эту самозащиту.
ЗЫ: вру, там кол гейт был доступен.

-----
2 оттенка серого

| Сообщение посчитали полезным:

difexacaw
значит, есть какая-то неизвестная нам матчасть. или я что-то делаю криво. Хз. Вот ради интереса скачал еще GMER - он тоже не может удалить службу / файл, убить процесс. Короче - ничего.

В общем, итог - авер неудаляем штатными средствами, винда заражена им наглухо, как будто рак 4ой стадии и метастазы везде.

| Сообщение посчитали полезным:

f13nd

> ЗЫ: вру, там кол гейт был доступен.

Был такой, использовали школьники через запись в ядро из секции физмем, только не читали маны и не знали что он крэшит ось если вызвать из под отлачика(#DB в ядре).

morgot

Нужны подробные детали, давно уже аверов никто не реверсит. Вполне ожидаемо что где то вне обычных обьектов ставится фильтр. По норм что бы выяснить нужно пройти км дебагом.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Нужны подробные детали,
у меня знаний не хватает, а больше никому не надо. Разве что у кого-то заказать реверс-обзор за рубли, хотя врядли найду кого. Но интересно все же до конца разобраться.

| Сообщение посчитали полезным:

morgot

Можно покопать, софос" ?. Займусь этим когда крэкми доделаю.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
когда крэкми доделаю
Зачем ты растрачиваешь свои знания на крэкми? Сделай лучше какой-нибудь полезный и приятный инструмент, который принесет пользу комьюнити

| Сообщение посчитали полезным:

Решил потестить еще 1 вещь --->native api shell<--. Руссинович пишет, что native api приложения загружаются раньше служб и юзермодных процессов, а готовый инструмент заюзал, дабы по быстрому потестить и не кодить самому. Удивительно, но пишет что запущено всего 4 процесса (включая мой), но все же, файлы не удаляются. Ошибки не могу проверить, надо самому видимо кодить.

Но как такое может быть? Если ничего не запущено, то что же блокирует файлы ? Вся эта неведомая матчасть по ACL? Или же аверские дрова загружаются еще раньше smss.exe (а я что-то не так понял в Руссиновича).

| Сообщение посчитали полезным:

Подключаешь диск к другому компу и удаляешь спокойно

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

morgot
На 100% никаких аверских дров в этом случае не загружается. А матчасть по ACL вовсе не "неведомая", там всё просто, как три рубля. Делаешь себя владельцем файла, потом - ICACLS с параметрами, чтобы позволить себе удалить файлы. Всё, никакой магии. Это можно сделать и без нативных режимов.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: morgot

ClockMan так да, но хотелось бы программно.

Crawler вот в этой матчасти (права безопасности винды) я сильно плаваю. Что можно почитать на эту тему, как я понимаю, это из серии материалы для сисадминов? Имею ввиду, чтобы вручную делать.
И , наверное, поэтому не дает удалить с натив апи?

| Сообщение посчитали полезным: