Deshabilitar el Antivirus Después de Obtener Acceso de Administrador

Cain, como cualquier otra herramienta para pruebas de penetración o hacking ético, puede ser detectado por la mayoría de productos antivirus instalados en el sistema bajo evaluación. Si Cain es detectado, puede ser reportado hacia el gestor del producto antivirus en la compañía. El deshabilitar el software antivirus puede ser realizado de diversas maneras, dependiendo del producto y como este configurado. Las opciones más comunes incluyen.

  • Desinstalarlo (Puede requerir un reinicio en Modo Seguro)
  • Renombrar los archivos o directorios desde un sistema operativo alterno (Linux)
  • Suspender el proceso o procesos con una herramienta de Sysinternals

Windows Defender es una protección antimalware, el cual típicamente está incluido e incorporado en Windows 8.1. Este software ayuda a identificar y eliminar virus, spyware, y otro software malicioso.

Para desactivar Windows Defender, ir hacia “Settings” o Ajustes, para luego desactivar la opción “Turn on real-time protection (recommended)” o “Activar la protección en tiempo real (recomendado)”. La protección en tiempo real alerta cuando software potencialmente indeseable o maliciosos intenta instalarse a si mismo en la computadora.

También los productos antivirus pueden ser desintalados o eliminados. En este escenario se debe tener en consideración, después de eliminar el producto antivirus, el responsable de la gestión podría notar este comportamiento anómalo.

Si se tienen dificultades desinstalando el producto antivirus, se puede intentar iniciar el sistema en “Modo Seguro”. Esto limita cuales aplicaciones son cargadas, lo cual en muchos casos podría negar los controles protectores activos, como productos antivirus, permitiendo desinstalarlos.

Si el producto antivirus no puede ser desinstalado incluso en “Modo Seguro”, se puede iniciar la computadora con un sistema operativo alterno, montar un sistema de archivos NTFS en modo lectura y escritura, para luego renombrar los archivos o estructura de directorios para prevenir el antivirus se cargue durante el proceso de inicio.

Una alternativa puede ser suspender o matar el proceso del antivirus mientras está funcionando. Esto puede ser necesario si el producto antivirus es difícil de desinstalar desde una máquina local, sin permiso de un controlador de aplicación centralizado en la red. En algunos casos, cuando un producto a nivel de la empresa está en uso, el cliente antivirus será puesto y reinstalado nuevamente, si no se lo detecta durante un periodo de tiempo prudencial.

Se puede utilizar la herramienta de nombre “Process Explorer” de SysInternals, para identificar y suspender el proceso relacionado al producto antivirus.

Identificado el proceso hacer clic derecho sobre el, para luego seleccionar la opción “Kill Process” o Matar Proceso.

Se presentará una nueva ventana, donde se consulta al usuario si se está seguro de matar el proceso indicado. A lo cual se responder presionando el botón “OK”.

Mientras el proceso es suspendido o terminado, es factible ejecutar herramientas prohibidas como Cain.

Tener en consideración, se deben eliminar las herramientas una vez finalizada la prueba, para luego reiniciar el proceso del antivirus, o podría ser notada la presencia y acciones realizadas.

Fuentes:

http://www.oxid.it/cain.html
https://www.microsoft.com/en-us/safety/pc-security/windows-defender.aspx
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1