[讨论]命令行下关闭各种杀毒和安全软件的方法讨论
议题作者:pt007信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
命令行下杀掉各种杀毒和安全软件的方法汇总:
1,呵呵,要写就写点有用的东西嘛!你说上面这些,连pstool都不用,用tasklist和taskkill可以全部搞定
2,要写就写点怎么关咔吧之类的
3,还有不要说什么汇总,方法太多了
4,语气不好,请见谅. 直接关了容易被管理员发现,不知道有没有办法在命令行下将只将杀毒软件的文件监控关掉? 关闭杀毒,不是个办法,是欲盖弥彰阿。
只能针对不小心的弱者,欺负弱者有什么意思。
干脆欺负那些都不知道什么是杀毒的不就的了。 最好是能把杀毒软件的病毒库 “掏空” 明白我的意思否? [quote][b]这里是引用第[/b][color=#ff0000][4 楼][/color][b]的[color=#000066]heidan365[/color]于[/b]2006-03-24 09:55[b]发表的:[/b]
最好是能把杀毒软件的病毒库 “掏空” 明白我的意思否?[/quote]
那你还不如先测试一下是什么杀毒软件~!在用向对的方法把你的马帮到他的病毒库人间上~!这样不是更好~! date 修改系统时间; 卡巴就<STRONG>当掉</STRONG>, (有兴趣的同志可以去测试!) PS: Guest权限无法修改系统时间 我觉得大家在这里讨论的是一个简单易行运行黑软的方法,谁能保证在入侵当中所有的程序都是自个写出来?真有这个实力的高手毕竟是少数,而关闭病毒防火墙是最简单的保证黑软可用性的方法之一,另外我希望在邪八里面能多些实践少些理论,有些理论说起来轻松,听起来也很美,但是真正能解决我们渗透中遇到的问题么? net stop "Symantec AntiVirus Definition Watcher"
net stop "Symantec Event Manager"
net stop "Symantec Settings Manager"
net stop "Symantec AntiVirus"
net stop "Symantec SPBBCSvc" [quote][b]这里是引用第[/b][color=#ff0000][6 楼][/color][b]的[color=#000066]only_over[/color]于[/b]2006-03-24 23:17[b]发表的:[/b]
date 修改系统时间; 卡巴就当掉, (有兴趣的同志可以去测试!) PS: Guest权限无法修改系统时间[/quote]
修改系统时间只会让卡巴升不了级.不会防止自动防护.所以这个方法还是不行!
不好意思.没有看到2038这个问题.把时间调到2038之后.卡巴出现错误.自动关闭! [quote][b]这里是引用第[/b][color=#ff0000][1 楼][/color][b]的[color=#000066]sandsky[/color]于[/b]2006-03-23 15:40[b]发表的:[/b]
1,呵呵,要写就写点有用的东西嘛!你说上面这些,连pstool都不用,用tasklist和taskkill可以全部搞定
2,要写就写点怎么关咔吧之类的
3,还有不要说什么汇总,方法太多了
4,语气不好,请见谅.[/quote]
--------------
我在2000下用tasklist不行,他说没有这个命令。
关于楼主的说法,我TELNET到某个机子时,传了PSLIST和PSKILL上去,可显示对方进程,但是用PSKILL总是干不掉他的进程,不知是什么原因,换了另一个命令行下杀进程的pk也不行,对方是XP 呵呵,我从别的XP里复制了tasklist和taskkill,可是在2000下不能显示进程,看来只能远程搞XP [quote][b]这里是引用第[/b][color=#ff0000][11 楼][/color][b]的[color=#000066]chameleon[/color]于[/b]2006-03-31 16:30[b]发表的:[/b]
呵呵,我从别的XP里复制了tasklist和taskkill,可是在2000下不能显示进程,看来只能远程搞XP[/quote]
tasklist和taskkill只能在XP 以上系统使用!在2k下我也不成功!可能是系统不支持! [quote][b]这里是引用第[/b][color=#ff0000][11 楼][/color][b]的[color=#000066]chameleon[/color]于[/b]2006-03-31 16:30[b]发表的:[/b]
呵呵,我从别的XP里复制了tasklist和taskkill,可是在2000下不能显示进程,看来只能远程搞XP[/quote]
可以用vbs脚本 我用起来感觉不错! 瑞星加密后还能在命令行下关闭吗?本人不信?请高手指点 关于诺顿企业版“文件自动防护“的关闭方法:
1) 关闭服务:net stop "Symantec AntiVirus" 关闭成功!
2) 关闭进程:Rtvscan,CCAPP,vptray,defwatch,等等所有诺顿进程全部关闭成功!试运行木马,被删 除,证明诺顿“文件自动防护”功能仍在运行!
这个我也碰到过,有哪位高手知道如何停止诺顿的"文件自动防护"功能??? 我也遇到过此类情况,就是不知道如何关闭诺顿的自动防护,是不是需要卸载某个相关的动态链接库文件.请高手指点!!! 用recton不是很方便么 *** 作者被禁止或删除 内容自动屏蔽 *** 权限不够吧 一般的说 webshell里没这么大权限ㄟ 免杀才是最根本的.或者从其他技术突破. 关闭杀软太明显了.没有什么意义. dr.web在命令行下好象无法关闭 [quote][b]这里是引用第[/b][color=#ff0000][14 楼][/color][b]的[color=#000066]寂寞宝贝[/color]于[/b]2006-04-09 15:12[b]发表的:[/b]
[quote][b]这里是引用第[/b][color=#ff0000][13 楼][/color][b]的[color=#000066]美丽の破船[/color]于[/b]2006-04-09 15:05[b]发表的:[/b]
可以用vbs脚本 我用起来感觉不错![/quote]
用VBS不行的,根本Kill不掉杀软,应该是权限不足的问题,Kill一般的程序还可以,可能是杀毒软件都用的什么特殊方法保护自己
不知道你用的vbs和我用的一不一样
我的是这样的:
do while true
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_ '循环进程
if ps.name="QQ.exe" then '关闭QQ
ps.terminate
end if
next
wscript.sleep 1000 '延时1秒
loop 原创作者:Unicorn(白色猎人)
信息来源:邪恶八进制安全团队(E.S.T)
最近没事在邪八溜达,看到个sunlion发的老帖子,evilsun匿名信使发送器, 就是模仿windows中的net send命令在局域网中发送消息,接收消息的计算机必须开启了Messenger服务才能正确收到消息,开启messenger的命令是net start messenger。由于当时sunlion没给出代码,反正我也闲着无聊,就随便写了个玩玩,代码很简单,用到的核心函数是NetMessageBufferSend函数。
以下代码在Windows Xp / Windows 2000 + VC6.0下测试成功。
CODE:
/*
* 功能:模仿Net Send 命令发消息
*
* 文件:SendMsg.cpp
*
* 编码:Unicorn
*
* 日期:2006年7月4日
*/
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <wchar.h>
#include <windows.h>
#include <Lm.h>
#pragma comment(lib, "Netapi32.lib") // 加载Netapi32.lib库
void Usage(wchar_t *AppName)
{
char szInformation[] = "欢迎使用UNI匿名消息发送器 V1.0 Coding By Unicorn 2006/7/4";
char szParam[] = "参数说明:\r\n\t<DesIP>参数不可省略,是目的机器的IP地址.\r\n\t<SouIP>参数不可省略,是发送端的名称,这里可以随便填写.\r\n\t<Message>参数不可省略,要发送的信息.\r\n\t[Count]参数可以省略,发送消息的次数,默认为1次.";
printf("=========================================================\n");
printf("%s\n", szInformation);
printf("=========================================================\n");
printf("Usage: %s <DesIP> <SouIP> <Message> [Count]\n", AppName);
printf("%s\n", szParam);
}
void wmain(int argc, wchar_t *argv[])
{
// 参数不满4个或者5个的话就出现帮助信息
if ((argc<4) || (argc>5))
{
Usage(argv[0]);
return;
}
wchar_t *DesIp = argv[1];
wchar_t *SouIp = argv[2];
wchar_t *Msg = argv[3];
const wchar_t *wCount = argv[4];
int count = _wtoi(wCount);
if (count == 0)
{
count = 1;
}
int nCount = count;
printf("Sending\n");
while (count--)
{
// 发送函数
int nRet = NetMessageBufferSend(NULL, DesIp, SouIp, (LPBYTE)Msg, sizeof(Msg));
if (nRet != NERR_Success)
{
switch(nRet)
{
case ERROR_ACCESS_DENIED:
printf("\rThe user does not have access to the requested information.\n");
break;
case ERROR_INVALID_PARAMETER:
printf("\rThe specified parameter is invalid.\n");
break;
case ERROR_NOT_SUPPORTED:
printf("\rThis network request is not supported.\n");
break;
case NERR_NameNotFound:
printf("\rThe user name could not be found.\n");
break;
case NERR_NetworkError:
printf("\rA general failure occurred in the network hardware.\n");
break;
default:
break;
}
break;
}
printf("...");
}
printf("\r\r\n总共发送了%d次\n", nCount);
}
[Copy to clipboard]
[ 此贴被白色猎人在2006-07-05 12:41重新编辑 ]
青铜的钝剑:我是没有眼泪的人 为了保护自己 今后我可以对任何人残忍
巫师的披风:我不怕死 因为我一直对它充满着无尽的好奇 想亲眼看一下死之后会是什么←目前状态
耀眼的强光:我最擅长从零开始创造世界 所以从来不怕失败 它最多也就让我一无所有 哪个朋友帮忙解决个问题行么,偶发不了主题,。
是个关于xxx.dll类型文件的打开问题,不知道怎么样才可以看到里面的内容啊,需要脱壳什么的么?有明白的朋友帮我下啊 急哦 谢谢了 文章作者:匿名
我也没什么技术!只想说一下,实践下就知道!
什么tasklist.exe taskkill.exe就可以搞定 都什么啊!
啊 啊!你有实践没!我告诉你诺顿有的进程 就不会在tasklist下显示出来,好不好!!或者你是高人,直接通过进程来杀,但是我还想说一下,就凭那几个f, im ,t这几个破参数吗,
我愚笨还请说明!
见谅! postmessage()
sendmessage()
模拟消息,就好像点击“退出” 你说的方法多数都过世了,起作用的少,通用的还是ring3下恢复ssdt
页:
[1]