Прикольное название я дал этой статье :).
Данная статься рассказывает о защите, но не
той которая от троянов и вирусов и т.д., а
более лучшей, о защите троянов и вирусов от
AVP Monitor:). Вы наверное знаете, что AVP сейчас
является лидером среди антивирусов, но не
смотря, что AVP лидер, в AVP допущен позорный
БАГ. Не надо быть хорошим программистом, для
того, что бы AVP вышибить. И так начнём о баге
и его использовании. Как-то я сидел в Visual C++ и
решил запустить его утилиту Spy++, запустил и
начал смотреть
имена окон, что бы спрятать кнопку "Пуск",
смотрю я смотре и вдруг наткнулся на окно AVP.
Не много подумав, я решил извратиться,
послать окну AVP  сообщение WM_DESTROY. AVP к
сожалению ни как не отреагировал и тут я
решил до конца попытаться прибить AVP и 
начал посылать по циклу сообщение WM_DESTROY. Я
думал, что AVP мне сейчас выдаст сообщение
"вы уверенны, что хотите закрыть AVP…и т.д.",
но представьте такого не произошло и тут я
подумал — это БАГ.
Но к сожалению меня не устроило то, что надо
это желать по циклу и я попробовал послать
AVP сообщение WM_CLOSE, как только я его послал у
меня сразу же закрылся AVP. В этом я увидел
лоханутость этой программы. Применение
этому багу я нашёл примерно на следующий
день. Подумал я: а что если создать
программу которая носила-бы в себе троян
или любую другую программу и охранялась от
AVP. Написал я такую программу на Visual C++,
алгоритм её  был следующий: 1) Вышибаем AVP,
2) Вытаскиваем из неё файл в директорию Windows
и запускаем. Программа же которая лежала в
носителе  была написанна в конец EXE файла
носителя и зашифрована по XOR. Таким образом
AVP убивался, а программа (троян) запускалась
без помех. У Dr. Web же такого бага нету! Но к
сожалению как бы я носитель не сжимал, он
был 27kb, и из-за этого троян становился на 27kb
и уже в применение не был эффективен из-за
большого размера. Я по быстрому перекинул
эту программу на Assembler, после чего она стала
занимать 4k и трой был и скрыт от AVP + не
большой размер.

Эта программа не
распростроняется!!!
Данная статья показывает автору AVP, о его
БАГЕ!
Автор не несёт ответственности за
использование этой информации в
противозаконных мерах. Вес этот
эксперимент производился над AVP Monitor for Windows
v3.0 build 131(Русская версия).

Оставить мнение

Check Also

Компания OnePlus подтвердила утечку данных банковских карт 40 000 пользователей

Неизвестные атакующие похитили информацию о банковских картах более чем 40 000 клиентов ин…