Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 29-03-2014 23:21:24

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Tentative se suppression d'avast via le registre

Bonsoir ! smile


Je tente en vain, d'accéder en local a mon ordinateur windows7/64 et de lui supprimer avast via un shell windows lancé par metasploit, l'access au PC cible se fait sans problème et j'obtiens le shell mais impossible de faire sauter avast.Idem quand je suis sur le pc cible et que je tente avec regedit de supprimer toute trace de l'antivirus, ça refuse de se supprimer et ça reste dans le registre (pas d'alarme pour autant de déclencher).

Mon but est assez complexe mais pas infaisable je pense, en prenant la chose a l'inverse, j'essai de m'attaquer a l'antivirus directement avant de faire joujou sur le pc victime.Je sais que la méthode classique et de modifier ou crypter son backdoor de manière a bypass l'AV mais c'est déja fait du coup je tente d'aller plus loin et de faire disjoncter complètement l'AV tongue ben quoi on s'amuse comme on peu avec Kali big_smile


J'ai quelque connaissance en ASM et je pense que ça peut m'aider dans ce cas précis.Ou dois-je orienter mes recherches exactement dans ce monde obscure du client-side ?

Bon week au passage cool

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 30-03-2014 01:14:01

coyotus
Membre Irremplaçable
Lieu : fort fort lointain
Inscription : 05-08-2010
Messages : 884

Re : Tentative se suppression d'avast via le registre

et tout simplement lancer l'uninstaller ?


1310812721.gif

Hors Ligne

#3 30-03-2014 03:08:32

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Tentative se suppression d'avast via le registre

Je n'y ai pas pensé mais ça serait pas un peu trop simple ? et surtout que ça soit pour le pentest wifi ou autre, j'essai de faire des tests discret puis je trouve qu'il n'y a pas assez de challenge si je fais ça wink

Hors Ligne

#4 30-03-2014 11:59:14

coyotus
Membre Irremplaçable
Lieu : fort fort lointain
Inscription : 05-08-2010
Messages : 884

Re : Tentative se suppression d'avast via le registre

Un antivirus fait partie de l'utilisateur "system" essaye de te rendre propriétaire des fichiers et ensuite supprime les (enfin essaye).


1310812721.gif

Hors Ligne

#5 30-03-2014 12:35:39

ccmp
Membre Indétronable
Inscription : 06-11-2008
Messages : 177

Re : Tentative se suppression d'avast via le registre

l'empecher de se lancer au prochain dém c'est déja bien non ? si cela marche je pense que oui ..

Hors Ligne

#6 30-03-2014 18:12:38

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Tentative se suppression d'avast via le registre

Coyotus a écrit :

Un antivirus fait partie de l'utilisateur "system" essaye de te rendre propriétaire des fichiers et ensuite supprime les (enfin essaye).

ça va pas etre évident mais c'est intéressant comme domaine donc why not try... cool

Hors Ligne

#7 30-03-2014 20:16:37

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Tentative se suppression d'avast via le registre

Koala a écrit :

l'access au PC cible se fait sans problème et j'obtiens le shell

Qu'entends-tu par par obtenir un shell ? le shell normal genre telnet, netcat ou bien Meterpreter ? avec le shell standard on n'a pas beaucoup de possibilités même si t'essaies d'uploader/downloader un fichier qui va bloquer l'AV, car sur Vista et Seven Telnet et TFTP sont désactivés par défaut. Il faudrait comprendre le fonctionnement de l'OS pour pouvoir manipuler ses DLLs, ses fonctions, ses fichiers du system32 ou ailleurs et écrire ensuite directement dans le shell en bach grâce par exemple avec la commande Edit, et le tout en hidden et sans se heurter à certaines manipulations qui demandent le root pour aller plus loin.
Parce que en fait pour killer Avast il te faut le root, à moins que tu trouves un chemin à travers les dédales de Seven pour neutraliser une de ses fonctions, thread, etc et ce n'est pas sur le disque dur il faut que se soit dans la ram en tant que processus, et même pour manipuler la base de registre il faut des privilèges.

C'est là qu'intervient Meterpreter, avec par exemple (run getcountermeasure) pour faire sauter l'AV et le firewell, (run killav) pour killer l'AV, (run kitrap0cd) pour l’élévation de privilège, etc... mais ça ne marche disant avec XP mais moins bien avec Vista et Seven parce que la sécurité à été renforcée par rapport à XP, et ça dépend aussi comment l'antivirus est implémenté. Il faudrait imaginer, trouver des parades, et Meterpreter contient d'autres options très pointues qu'on peut conjuguer avec d'autres modules de poste exploitation, auxiliary, etc.

Mais admettons que ton shell tourne déjà avec des privilèges, ça dépend comment il a été exécuté ou bien bindé avec un fichier qui s'exécute en tant que root, il faudrait juste de voir la liste des processus en mémoire et ensuite l’exécuter sur la place électronique big_smile 

tasklist

chrome.exe            3476 console                1             45 312 ko
chrome.exe            5960 console                1             68 776 ko
calc.exe                  5264 console                1               6 636 ko
cmd.exe                  4896 console                1               2 492 ko

Pour voir la liste et ensuite tu notes le numéro de pid du processus et tu le tues:

taskkill /pid 5264

Il y a aussi une autre commande très puissante que j'adore beaucoup: WMIC qui utilise des requêtes WMI avec les alias. Elle est colossale ! tu tapes wmic /? pour les détails:

Quels sont les processus qui tournent en mémoire ? WMIC:

wmic:root\cli> process list brief

Quels sont les services ? WMIC:

wmic:root\cli> service list brief

Quels sont les programmes installés ? WMIC:

wmic:root\cli> product list brief

Quels sont les fichiers exécutés au démarrage de l'ordi ? WMIC toujours:

wmic:root\cli> startup list brief

(Tu peux virer "list brief")

Maintenant, il y a un processus que je n'aime pas ? WMIC:

wmic:root\cli>process where name="AvastUI.exe" call terminate

ou bien:

wmic:root\cli> PROCESS where (Name="AvastUI.exe") DELETE

Lancer un processus ? WMIC:

wmic:root\cli>wmic PROCESS CALL CREATE skype.exe

Il y a un programme installé qui me plait pas ? WMIC:

wmic:root\cli> product where name="skype" call uninstall

Voir un peu la documentation Microsoft >>>>

Elle fait tout ! le truc génial c'est qu'on peut la manipuler via un shell ou Meterpreter (l'option shell de Meterpreter donnant accès à l'invite de commande) et conjuguée avec Netsh par exemple, ça va devenir violent !

Tout ça à distance, via la clairvoyance, télépathie et psychokinésie tongue mais sur le l'ordi tu peux utiliser CCleaner, tu le connais c'est sûr. Il permet lorsqu'il désinstalle un  programme de ne pas oublier de retirer ses clés registre. En plus,  il permet même de faire un effacement sécurisé cool tu sais c'est quoi ? la CIA demande à ses agents d’effacer 7 fois  un  fichier, CCleaner  le fait 35 fois !



Félicitation pour tes 2000 messages, tu es le 6 eme général crack-wifien à avoir 6 étoiles sur les épaules, je ne sais pas pourquoi M1ck3y a placé la barre très haute tongue moi, furyo, spawn, coyotus et compagnie nous sommes encore des lieutenants tongue

Dernière modification par Fuji (13-04-2014 16:54:04)

Hors Ligne

#8 30-03-2014 20:54:38

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 363

Re : Tentative se suppression d'avast via le registre

Fuji a écrit :

je ne sais pas pourquoi M1ck3y a placé la barre très haute tongue

Il y a deux choses qui traduisent le nombre de posts, c'est d'une part la petite icone avec les étoiles, mais aussi le rang qui est affiché pour les membres. Pour atteindre le ranking max "Membre Irremplaçable" il faut 650 posts, et pour avoir le max d'étoiles il faut descendre des hélicos au bazooka et attendre que les militaires arivent 2000 posts. Ce sont des chiffres que j'avais choisi en fonction de l'activité sur le forum il y a quelques temps déja wink

Hors Ligne

#9 30-03-2014 22:11:41

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Tentative se suppression d'avast via le registre

Merci a Fuji pour toutes ces infos smile et effectivement je prends de l'age ici big_smile


Fuji a écrit :

moi, furyo, spawn, coyotus et compagnie nous sommes encore des lieutenants en tout cas furyo est un gofast il va arriver


De précieux lieutenant utile a la communauté smile quand a Furyo je le guette dans mon rétro tongue

Hors Ligne

#10 30-03-2014 22:50:00

Furyo
Membre Irremplaçable
Inscription : 25-11-2010
Messages : 1 393
Site Web

Re : Tentative se suppression d'avast via le registre

Je ne voudrais dire des conneries mais connaissant la daube d'Avast...

De memoire et sous windobe, il se desintalle via un redemarrage ou un passage sur le mode sans echec...


Les processus à tuer (merci Fuji) sont nombreux dans le gestionnaire de taches mais surtotu au niveau des services aussi (surtout si tu as affaire à une version crackée)


Le plus difficile c'est de reconnaitre les droits systemes effectivement mais je crois que tu as compris comment faire wink


Je prendrai le temps de répondre aux gens qui auront pris le temps de se présenter..
Les membres suspectés d'intentions douteuses ne trouveront que mon silence en réponse.
Morpheus à Néo : On n'est pas le meilleur quand on le croit, mais quand on le sait..
387003.jpg

Hors Ligne

#11 30-03-2014 23:11:01

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Tentative se suppression d'avast via le registre

>

Dernière modification par Fuji (04-04-2014 16:07:59)

Hors Ligne

#12 31-03-2014 21:12:46

InconnuX
Membre
Inscription : 17-03-2014
Messages : 21

Re : Tentative se suppression d'avast via le registre

Anti-AV compilation
https://github.com/AlephNull314/AbsoluteZero

C'est la source qui regroupe plusieurs tricks pour bypass ou kill les AVs.
Première ligne :

//AVAST 
AV_struct<3> avast_  =     {"Avast",{L"AvastUI.exe",L"AvastSvc.exe",L"afwServ.exe"},L"AVAST Software\\Avast",L"ProgramFolder",true,PROXYINJECT_ATTACK_1};

Hors Ligne

#13 12-04-2014 08:32:46

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Tentative se suppression d'avast via le registre

Fuji a écrit :

car sur Vista et Seven Telnet et TFTP sont désactivés par défaut

Il reste FTP qui n'est pas désactivé smile

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
Avast et le binaire par Maxoumax6
3 1645 24-06-2014 21:21:28 par YAZ
22 2017 19-09-2012 12:51:02 par noireaude
Suppression par Drummer74
1 710 17-07-2012 17:13:12 par M1ck3y
6 2026 09-06-2011 22:47:23 par noireaude
tentative de crack par sensoo
17 1655 16-02-2011 21:56:58 par koala

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.044 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]