Post Recuperado 
Autor: nhaalclkiemr
Bueno, hace un tiempo qe quería hacer un AV/FW-Killer (un programa que mate antivirus y firewalls instalados).,..Entonces ahora he propuesto hacer un
Fire AV/FW-Killer que seguramente esté creado en VB...pero se necesita colaboración...
Bien, primero voy a explicaros como funcionaría el AV/FW-Killer
1º.- Hay que detectar que AV o FW están instalados. Esto se puede hacer leyendo claves en el registro.
2º.- Una vez detectado el AV/FW pues el programa lee en el registro la ruta en la que fué instalado el AV/FW. En caso de no encontrarla (esto no tendría porque pasar) se utilizaría la ruta por defecto.
3º.- Se terminan sus procesos y servicios, esto se hace con un bucle unas cuantas veces para asegurarse y se pruevan distintos métodos (en 6ºalgunos casos por ejemplo hay que ascender a SYSTEM)
4º.- Se eliminan sus archivos principales (ejecutables). Esto es para que no se pueda volver a ejecutar. Se puede hacer que en vez de borrarse se sobreescriban con un archivo inutil. Así si el usuario intenta ejecutar el antivirus no le mostrará un error de acceso directo no encontrado, sino que no pasará nada...
5º.- Se eliminan las claves del registro con las que se inicia el antivirus (esto no es muy importante pero mejor asegurarse siempre jejeje)
6º.- Para los AVs/FWs más usados se puede hacer que siga el icono en la barra de tareas (opcional)
Pues eso es todo, es muy facil, incluso puedes saltarte algunos de estos pasos.
Yo estoy dispuesto a hacer esa parte, pero lo dificil de un AV/FW-Killer no es eso, sino tener que andar a recoger información sobre todos los AVs y FWs, ya que se necesita saber cuales son sus archivos, sus procesos, etc...
Pues eso es en lo que quiero que colaboremos todos. Y aquí os explico como hacerlo:
1º.- Hay que instalar una maquina virutal, ¿porqué?, pues simplemente para no llenar de basura que dejan los AVs al instalarlos en nuestro ordenador, en una maquina virtual podréis hacer las pruevas que querais y no guardar los cambios.
Bajate
Virtual PC 2007 desde aquí:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=04d26402-3199-48a3-afa2-2dc0b40a73b6Para quien no lo sepa una maquina virtual es un programa que emula un PC (o varios), ejecutas eseprograma y dentro puedes tener los SO que quieras, ejecutar virus y esas cosas y despues al salir no guardar los cambios. Nada de lo que hagas en una máquina virtual afectará a tu ordenador real.
2º.- Una vez descargado instalamos el archivo que bajamos. Ejecutamos Virtual PC 2007 y vamos File->Option->Language y lo ponemos en "Español", salimos y volvermos ejecutarlo. Ahora vamos a crear una nueva máquina virtual, pulsais en "Nuevo..." y seguíd las instruciones del asistente, seleccionad "Crear un equipo virtual", después le poneis el nombre que querais (yo le puse "Windows XP Pruevas"), en Sistema Operativo poneis "Windows XP" (lógicamente), después "Usar RAM recomendada" (o si quereis podeis cambiarla pero no varieis mucho, nunca pongais menos de 64MB), despues seleccionamos "Un nuevo disco duro virtual" (este será el disco duro de nuestra máquina virtual, que en realidad es un archivo, podeis ponerle el tamaño que querais, aunque pongais 60GB nunca ocupará tanto, el archivo en disco irá ocupando más espacio según los datos que tenga dentro, no por su capacidad), y por ultimo siguiente y finalizar.
3º.- Arrancamos nuestra nueva maquina virtual y vemos que es como un ordenador vacío, eso es porque le tenemos que instalar nuestro SO (como si fuera un ordenador con un disco duro vacío y sin formato), para eso necesitamos tener un CD o una imagen de un CD de Windows XP. La iniciamos y en la nueva ventana (nuestra máquina virtual!!!) vamos al menú CD y o bien cargamos una ISO que sea el CD de instalacion de Windows XP o si lo tenemos en un CD le damos a "Usar la unidad física D:" o en la letra que esté el CD de instalacion de WIndows XP...
4º.- Reiniciamos (se puede hacer llendo a Accion-->Ctrl+Alt+Supr y arrancamos desde el CD de instalacion de WIndows XP)...y lo instalamos como si un ordenador real se tratase.
5º.- Una vez instalado iniciamos Windows XP y en el menú accion pulsamos "Instalar o actualizar Virtual Machine Additions", esto cargará una unidad de CD que contiene unos archivos propios de Virtual PC que se recomienda instalar. Por ultimo bajamos desde el ordenador virtual (si configurar la red bien) o desde el real el RegShot desde aqui
http://regshot.blog.googlepages.com/regshot181_src_bin.zip (esta es la última versión, tiene que ser esa ehh!!)...más adelante explicaré para que sirve. Entonces lo pasamos a la maquina virtual (si lo descargamos en el real claro...), para pasar archivos desde el ordenador real virtual puedes arrastrar el archivo, o también puedes ir a "Editar"-->"Configuración"-->"Carpetas compartidas" y compartir una carpeta de tu ordenador real...así podrás tranferir los archivos que quieras...
6º.- Ejecutamos el RegShot (el binario), lo configuramos en "Español", en donde pone "Escanear dir..." habilitamos esa casilla y abajo ponemos nuestra unidad (Casi siempre
C:\\), donde pone "Ruta de salida" ponemos la ruta donde se creará el LOG y despues salimos:
7º.- Pues ya tenemos la máquina Virtual instalada con el Windows XP, esto era lo más costoso pero solo lo hay que hacer una vez y ya te queda para hacer las pruevas que quieras. Si te fijaste asta ahora todo lo que fuimos haciendo se fué guardando en el la maquina virtual...¿y si quisiera probar algo destructivo?, pues tendremos que configurar la maquina para que te pida si quieres guardar o no los cambios. Si está en ejecucion la maquina virtual la paramos y vamos a la configuracion de nuestra maquina virtual, donde pone "Discos para deshacer" lo habilitamos. Ahora cada vez que hagamos algo en nuestra maquina virtual no se guardará...y al salir te dará la opcion de elegir si guardar los cambios o no...
8º.- Ya está lo más dificil, aí un rapido manual de como instalar vuestra maquina virtual. Ahora vamos a lo que verdaderamente importa, recoger la información de los AVs/FWs. Lo primero que hay que hacer es bajar a nuestro ordenador real los archivos de instalación de los AVs/FWs...Podréis bajaroslos de paginas Web, tened cuidado porque en cada marca hay diferentes versiones (Pro, Lite, Proffesional, etc...) y versiones de numero tambien (1.0, 2.0, etc..) que hay que tratar como AVs distintos porque pueden tener archivos diferentes.
9º.- Pasamos el programa de instalacion de nuestro ordenador real al virtual.
10º.- El RegShot para quien no sepa es un programa que hace una "foto" con todas las claves del registro y las carpetas del sistema, despues hacemos lo que queramos y sacamos una segunda "foto", le damos a "Comparar" y nos crea un log con los cambios que se produjeron. Entonces nosotros ejecutamos el RegShot y pulsamos en "1ª foto", despues instalamos el antivirus o firewall y si nos dice de reiniciar no reiniciamos. Después de acabar la instalación sacamos una segunda foto y le damos a comparar, esto nos creará un log con los cambios que se produjeron (los archivos y carpetas y las rutas del registro que se crearon al instalar el antivirus). Y ese log es lo que nos interesa, porque tiene toda la información sobre el AV o FW que necesitamos.
11º.- Copiamos ese log creado a nuestro ordenador real y apagamos nuestra maquina virtual sin guardar los cambios (aseguraos de guardar el log en el real para que no se pierda). La proxima vez que la encendamos estará sin el antivirus instalado, entonces hacemos lo mismo con el RegShot con otros AVs...Es decir, desde el paso 8...
Si os liasteis con algun paso ponedo aqui
Pues eso, la cuestión importante es crear logs de los cambios que se producen al instalar el AV/FW...pork asi tenemos toda la información sobre el.
Los logs mejor que me los envieis por privado (para no saturar este topic y dejarlo para dudas), además decidme que antivirus o firewall es y su version (importante)
Yo iré poniendo akí los AVs/FWs que me vayais enviando y el nick de quien me lo envió (para que otro usuario no analice el mismo AV/FW).
AVs/FWs en lista-Agnitum's Outpost Firewall Pro 4.0 -
iAssassin -
(Listo)-Anti-Trojan Shield 2 -
iAssassin -
(Listo)-Avast 4.7 Home Edition Free -
Karcrack -
(Listo)-Avira AntiVir PersonalEdition Classic Hilfe 7.02 -
iAssassin -
(Listo)-Avira AntiVir PersonalEdition Classic 7.06 -
iAssassin -
(Listo)-BitDefender Total Security 2008 Family Pack -
Karcrack -
(Listo)-BullGuard -
iAssassin -
(Listo)-CA Firewall 10.0.0.99 -
iAssassin -
(Listo)-Comodo Firewall Pro 2.4.17.183 -
iAssassin -
(Listo)-Dr Web 4.44 -
iAssassin -
(Listo)-Eset Smart Security 3.0.414.0 -
iAssassin -
(Listo)-eTrust PestPatrol Anti-Spyware 8.0.0.6 -
iAssassin -
(Listo)-F-Prot Antivirus for Windows 6.0.7.1 -
iAssassin -
(Listo)-Jetico Personal Firewall v2 -
iAssassin -
(Listo)-Kaspersky 5.0.227 -
iAssassin -
(Listo) (esta versión pienso que si es matable)-Kaspersky Anti-Virus 7.0.0.125 -
iAssassin -
(Listo) (Aunque tengo el log de momento no puedo hacer nada)-McAfee Security Center 7.2 -
iAssassin -
(Listo)-NOD32 -
nhaalclkiemr -
(Listo)-Norton Internet Security 2005 -
iAssassin -
(Listo)-Norton Personal Firewall -
iAssassin -
(Listo)-Panda Antivirus 2008 3.00.00 -
iAssassin -
(Listo)-Rising Personal Firewall 2007 -
iAssassin -
(Listo)-Spybot Search & Destroy 1.4 -
iAssassin -
(Listo)-Spyware Doctor 4.0 -
iAssassin -
(Listo)-Sunbelt Personal Firewall 4.5.916.0 -
iAssassin -
(Listo)-Sygate Personal Firewall -
iAssassin -
(Listo)-Trojan Guarder Gold Version -
iAssassin -
(Listo)-Trojan Remover 6.5.1 -
iAssassin -
(Listo)-TrojanHunter 4.6 -
iAssassin -
(Listo)-Windows Defender 1.1 -
iAssassin -
(Listo)-ZoneAlarm Free Edition 7.0.362.0.0 -
Karcrack -
(Listo)Como veis es dificil que una persona solo analice todos los AVs, pero entre todos (analizando cada uno unos cuantos antivirus cuando tenga algo de tiempo libre) será mucho más facil. Esperamos vuestra colaboración y que se pueda crear al final un
Fire AV/FW-Killer.
Saludos
P.D.: No lo hagais con el Kaspersky 6.0 ni versiones superiores ya que tiene un driver que lo proteje y de momento es muy dificil matarlo, primero otros antivirus, el Kaspersky es un caso aparte que hay que tratar de otra manera muy diferente a los AVs normales...Os lo digo para que no perdais el tiempo...
