Jump to content

Почему антивирус можно закрыть через диспетчер задач?


Kasperono
 Share

Recommended Posts

Зачем запрос?

Любое ПО установившее драйвера ring-0 может действовать на компьютере как угодно. Может выгружать любые программы из памяти. Останавливать серсисы и прочее. Это логика работы системы и никуда от неё не деться.

Точно также можно взять AVZ составить скрипт и с её помощью удалить антивирус. Именно удалить а не просто выгрузить.

Link to comment
Share on other sites

Ну как бы если в антивирусе есть самозащита то он по идее не должен разрешать устанавливать такие драйвера в систему или хотя бы предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру (достаточно 10 строк кода чтобы запустить эту программу выделить процесс антивируса и нажать клавишу delete , enter)

 

Ссылка на этот альтернативный диспетчер задач https://wj32.org/processhacker/nightly.php он никак не определяется антивирусом. 

Link to comment
Share on other sites

предупреждать что программа может использоваться злоумышленниками для нанесения вреда компьютеру 

 

Как включить обнаружение программ, которые могут быть использованы злоумышленниками

Включено но никак не обнаруживает эту программу.

Link to comment
Share on other sites

Интересный сценарий получается:
1. Подключаешься удаленно к компьютеру на котором стоит антивирус.
2. Запускаешь Process Hacker с правами администратора. Антивирус его детектирует, но не удаляет. - not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen.
3. Через Process Hacker завершаешь все процессы антивируса.
4. Запускаешь вирус (шифровальщик) и ждешь выкупа 🤔

Link to comment
Share on other sites

@Friend, ну только надо иметь на этом компьютере права администратора. Иначе эти процессы не убьешь.

Но Process Hacker детектируется как not-a-virus только в его релизной версии. А ТС ведет речь о night builds-ах, которые регулярно выходят. Так вот они вообще никак не детектируются. То есть детект чисто сигнатурный.

@kmscom, у ТС Free версия Security Cloud

Link to comment
Share on other sites

Имея права администратора можно много всего плохого наделать. Если антивирус без пароля, можно его просто отключить. Документы можно скопировать себе, а потом безвозвратно удалить и просить выкуп. А там как фантазия подскажет.

Link to comment
Share on other sites

@Denis-NN при удаленном подключение антивирус не дает возможности взаимодействовать с интерфейсом продукта, если соответствующее приложение не было добавлено в исключения или в настройках самозащиты установлена галочка Разрешить управление настройками Kaspersky Internet Security через программы удаленного управления

@andrew75 у большинства людей один пользователь с правами администратора, для удаленного подключения можно использовать какую-нибудь уязвимость, даже детектируя релизную версию  Process Hacker, он не удаляет ее, а предлагает выбор, хотя в настройках стоит удалить.

Link to comment
Share on other sites

Не знаю о чем вы но у меня стоит 3 версия (из “nightbuilds”) и в Касперском включено обнаружение таких программ, и ничего, молчит. Может самозащита невероятно слабая раз возможно написать драйвер который с легкостью убьет Касперского?

Link to comment
Share on other sites

  • 2 months later...

Ремарка: если вы пользователь без прав Администратора, то вы не сможете запустить Process Hacker.

Если злоумышленник получил права Администратора, то система считается скомпрометированной. В этом случае, например, можно запустить систему в Безопасном режиме, и также удалить любую программу в системе, включая антивирусное ПО.

Link to comment
Share on other sites

Да. Поэтому и не вижу ошибки в таком поведении антивируса. Если злоумышленник получил на атакуемом компьютере права администратора, то не зачем использовать такие сложные действия как работа с процесхакером.

Link to comment
Share on other sites

@Anton Mefodys, да, и в теме отмечается, что для удаления процессов анитивируса программа запрашивает права администратора.

Я не уверен, что эта ситуация опасна. Создав запрос я хотел прежде всего получить официальный ответ разработчиков, считают ли они ее опасной.

Link to comment
Share on other sites

@Anton Mefodys   тут еще проблема, что антивирус не детектирует некоторые модификации Process Hacker и перезагрузка Windows в Безопасный режим займет больше времени, чем сразу же запустить Process Hacker в системе и завершить процессы антивируса.

Link to comment
Share on other sites

Ответ ТП:

Обсуждаемое на форуме поведение программы Process Hacker нам известно. Оно связано с тем, что программа работает через драйвер режима ядра. На текущий момент воспользоваться утилитой без прав администратора невозможно и поэтому поведение является ожидаемым.
На будущее создано пожелание поддержать сценарий в котором продукт не сможет быть выгружен данной программой.

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.