Обход проактивной защиты Agnitum Outpost Security Suite в 2 строчки
Автор
Сергей Ильин, в Outpost Firewall Free/Pro & Antivirus (Agnitum)
Объявления
-
Сообщения
-
От demkd · Опубликовано
С виртуализацией можно удалять все, защиты от нее практически нет. Выполнить 45-й твик.
---------------------------------------------------------
4.99.12
---------------------------------------------------------
o При удалении исключений Defender-а теперь не_используется powershell из-за неадекватного
поведения антивируса Kaspersky Free. Теперь удаление производится через сам Defender без
посредников.
(!) Если Defender отключен ИЛИ неисправен ИЛИ у вас установлен и АКТИВЕН другой антивирус
(!) то удаление исключений возможно лишь при использовании виртуализации реестра
(!) ИЛИ при приостановке защиты этого антивируса.
(!) Я рекомендую отключать антивирус перед запуском, он все равно бесполезен
(!) и лишь существенно замедляет и усложняет процесс лечения.
o Теперь в лог выводится информация о зарегистрированных в системе антивирусах/фаерволах и их состоянии.
(Доступно для Windows Vista+)
o Улучшена функция поиска неизвестных DLL в адресном пространстве uVS, теперь она более устойчива
к мерам противодействия поиску.
o Удалено ошибочное сообщение в логе для Windows Vista о блокировке kernelbase.dll,
которой в этой системе нет.
o Антисплайсинг: расширен список контролируемых функций.
-
От PR55.RP55 · Опубликовано
Посмотрел тему: https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/ Возможно имеет смысл - выполнение Твика #35 с виртуализацией реестра ? т.е. именно отдельный твик с виртуализацией? ( для обхода защит\ы ) ------- А как средствами uVS удалить запись типа: Запись из Лога: Обнаружена поврежденная задача: : Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\1EOSv3 Scheduler onLogOn Собственно это единственная запись\информация. Другой информации в uVS нет. т.е. если нет записей = иной информации, то и применить к ней команды из интерфейса невозможно. т.е. нужно или отдельно задействовать cmd и\или открывать taskschd как-то это... -
От santy · Опубликовано
Все получилось. Неудаляемые из нормального режима записи с блокировкой запуска антивируса получилось удалить твиком 35 после интеграции uVS в меню дополнительных параметров загрузки. (Обошлось без загрузочного диска.) -
От demkd · Опубликовано
---------------------------------------------------------
4.99.11
---------------------------------------------------------
o Добавлена защита начального уровня от загрузки неизвестных DLL в адресное пространство uVS.
Защита эффективна против большинства способов внедрения DLL,
в т.ч. и с использованием глобальных хуков и ключей реестра.
(кроме способов внедрения включающих в себя использование специального драйвера)
Защита включается автоматически при активации опции "Выгружать DLL и уничтожать потоки внедренные в uVS".
В лог выводится список таких DLL и количество попыток внедрения.
Защита существенно повышает стабильность uVS и совместимость с различным софтом внедряющим свои DLL во
все доступные процессы. (например: продукты Comodo, punto switcher (при отключенном UAC) и т.д.).
(!) Функция доступна начиная с Windows Vista.
o Обновлены базы известных файлов для корректной работы функции защиты от загрузки неизвестных DLL.
o Улучшена функция антисплайсинга, теперь эта функция активируется на раннем этапе загрузки uVS.
Расширен список контролируемых функций.
(!) ЕСЛИ активна опция "Выгружать DLL и уничтожать потоки внедренные в uVS" то антисплайсинг
(!) активируется автоматически.
o Добавлено предупреждение в лог если параметр MinimumStackCommitInBytes в ветке реестра IFEO превышает 16Mb.
Твик #35 теперь удаляет такие значения.
o Добавлено предупреждение в лог если параметр CfgOptions в ветке реестра IFEO превышает допустимое значение.
Твик #35 теперь удаляет такие значения.
o Добавлено предупреждение в лог если значение параметра MitigationOptions в ветке реестра IFEO МОЖЕТ вызвать
блокировку запуска приложения. (ошибка при запуске STATUS_DLL_INIT_FAILED [0xC0000142])
Твик #35 НЕ удаляет такие значения, поскольку это значение используется некоторыми программами для запуска
специализированных процессов.
o Добавлена обработка параметров UseFilter и FilterFullPath в IFEO.
o Добавлена функция проверки ключа реестра планировщика задач, которая выполняется в отдельном потоке
при обновлении списка, в результате в лог выводится путь в реестре до скрытых и поврежденных задач с их именами.
Поврежденной задачей считается задача препятствующая нормальной работе интерфейса планировщика задач.
(ошибки при открытии планировщика: "Внутренняя ошибка" и "Выбранная задача "имя_задачи" больше не существует")
o Добавлен твик #35 Удаление поврежденных задач.
Твик не удаляет скрытые задачи, если они не являются "поврежденными".
o В случае аварийного завершения uVS лог автоматически сохраняется в текстовый файл с именем "crash.log".
report_crush теперь отправляет этот файл вместе с дампом.
-
От Ego Dekker · Опубликовано
ESET Online Scanner был обновлён до версии 3.7.9.
-