后门检测告警处置-使用powershell关闭windows defender实时防护

已于 2024-05-09 09:15:49 修改
阅读量182 收藏 2
点赞数 9
分类专栏: # 安全运营 文章标签: 网络安全
于 2024-04-25 14:39:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HeLLo_a119/article/details/138188373
版权

1.安全设备告警

告警说明:使用powershell关闭了windows自带的防护defender(mfetp.exe)。

可以从告警中看到,执行操作的进程为公司杀软的进程。

需要询问相关负责人该服务器是不是进行了什么操作。

经确认告警原因为系统打补丁后重启,导致防病毒执行了以上操作。

2.其他排查思路(windows)

查看服务器登录记录,排查主机是否存在异常。

• 检查系统账号:检查系统账户,查看是否存在新创建的账号等异常账号。
• 检查异常端口、进程:检查系统的端口和进程,查看是否存在异常(netstat -ano/nmap)。
• 检查启动项、计划任务和服务:检查系统的启动项、计划任务和服务,查看是否存在异常。
• 检查系统相关信息:检查系统的配置信息,查看是否被修改。
• 日志分析:分析系统的日志信息,查看是否存在异常操作记录。 

3.结论

安装任何杀毒软件都会存在禁用微软自带的防护的情况。

HeLLo_a119
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python通过ssh-powershell监控windows的方法
09-22
主要介绍了python通过ssh-powershell监控windows的方法,涉及Python操作ssh-powershell的相关技巧,需要的朋友可以参考下
PowerShell-Windows-Product-Key-Grab:使用PowerShell模块获取Windows产品密钥
05-18
PowerShell-Windows-产品-密钥-抓取 使用PowerShell模块获取Windows产品密钥 从Powershell(开始->运行-> powershell.exe) Set-ExecutionPolicy RemoteSigned 导入模块./key.ps1 获取WindowsKey 默认情况下将读取本地计算机注册表。 如果要搜索已导出到另一个磁盘或USB的密钥,请从命令行启动regedit。 然后单击“加载”配置单元,找到通常位于以下位置的“软件”配置单元: C:\ Windows \ System32 \ config 给配置单元起一个名字,例如OLDPC 然后在key.ps1中编辑此行 从: $ regPath =“软件\ Microsoft \ Windows NT \ CurrentVersion” 至: $ regPath =“ OLDP
HostsCompletion-for-PowerShell:Windows PowerShell中主机文件的补全名称
05-10
主机完成PowerShell Windows PowerShell中主机文件的补全名称 安装 请下载HostsCompletion.ps1并添加 . path / to / HostsCompletion.ps1 到您的Profile.ps1 。 用法 如果在主机文件中添加了127.0.0.1 localhost ,则可以完成主机名。 例如,当您键入 ping lo 然后按Tab键,你会得到 ping localhost 这支持[ ping | route | ssh | scp | ftp ] [ ping | route | ssh | scp | ftp ] Windows PowerShell中的[ ping | route | ssh | scp | ftp ]命令。
virtualenvwrapper-powershell:Python virtualenvwrapper-用于Windows Powershell
03-21
适用于Windows Powershell的VirtualEnvWrapper 这是功能强大的的模仿,但适用于Windows Powershell。 安装 只需使用Install.ps1脚本: .\Install.ps1 地点 虚拟环境安装目录设置在用户主目录$HOME\.virtualenvs 。 如果要自定义虚拟环境安装目录,只需添加环境变量WORKON_HOME并将其值设置为目录路径即可安装虚拟环境。 用法 该模块在PowerShell中添加了一些命令: lsvirtualenv (别名: Get-VirtualEnvs ):列出所有虚拟环境; mkvirtualenv (别名: New-VirtualEnv ):创建一个新的虚拟环境; rmvirtualenv (别名: Remove-VirtualEnv ):删除现有的虚拟环境; workon (别名: Switch-V
rustup-powershell:使用 PowershellWindows 的 rustup.sh 等价物
07-01
rustup-powershell 使用 PowershellWindows rustup 等价物 Rust 的安装程序现在会同时安装 Cargo。 如果您只是出于这个原因想使用此脚本,则不再需要它。 这是为 Windows 提供rustup.sh等效项的尝试。 rustup.ps1将下载最新的 Windows Rust 和 Cargo 二进制文件,运行 Rust 安装程序,然后将cargo.exe放在 Rust 的 bin 目录中。 该脚本旨在在任何带有 Powershell 2.0 的 Windows 上运行,但目前仅在以下方面得到确认: Windows 7 64 位。 Windows 8.1 64 位。 如何使用 一个班轮: Start-BitsTransfer "https://raw.githubusercontent.com/Fireforge/rustup-
powershell搞定烦人的Windows Defender
baynk的博客
04-28 1606
命令来进行关闭实时保护功能,这里本来就已经关闭了,演示关闭自动提交未知样本功能。可以看到已经成功关闭,如果上述命令无法生效时,需要先关闭篡改防护。是真的烦,关了一段时间后,自己又打开。最近装了不少虚拟机,发现目前较新版本的。,半都关不掉,做个实验是真烦。把重要的几个选项作了注释。也可以尝试使用注册表命令。,记录一下,以备查用。顺手去查了下如何使用
关闭defender
SHELLCODE_8BIT的博客
11-28 1548
WindowsDefender功能削弱 #关闭实时保护 powershell.exe-command"Set-MpPreference-DisableRealtimeMonitoring$true" #关闭行为监视 powershell.exe-command"Set-MpPreference-DisableBehaviorMonitoring$true" #禁用IOAV保护,禁止扫描下载的文件和附件 powershell.exe-command"Set-MpPrefer...
如何关闭Windows Defender
xitongzhijianet的博客
08-18 2287
禁用:reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender” /v “DisableAntiSpyware” /d 1 /t REG_DWORD /f。很多用户在电脑的使用过程中,发现Windows Defender会弹出各种消息,使用起来非常不顺畅,那要如何关闭Windows Defender呢?通过注册表命令方式来 禁止Windows Defender开机自动运行和彻底关闭它。...
windows 10家庭版关闭Defender
mengxp的博客
04-15 3380
管理员模式powershell执行 Set-MpPreference -DisableRealtimeMonitoring 1
12-win10中永久禁用/启用Windows Defender
汐小旅Shiory
04-30 5835
方法1:修改注册表,永久禁用/启用Windows Defender 1.打开注册表编辑器 按 Win+R键入regedit,点击确定 2.定位需要修改的注册表 其路径:HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender 3.创建DWORD(32位)注册表值。 右侧空白区域右键-新建-D...
node-powertoast:使用PowerShellWinRT的Windows Toast通知(Windows 8,8.1,10)
05-06
关于 使用PowerShellWinRT的Windows Toast通知(Windows 8、8.1、10)。 不使用任何本机模块。 一切都通过PowerShell完成,但是您可以使用本机WinRT API,而可以选择安装相对软件包: @ nodert-win10-rs4 / windows.data.xml.dom @ nodert-win10-rs4 / windows.ui.notifications 使用NodeRT的速度更快,因为您不必等待PowerShell VM启动,并且可以注册到onActivated / onDismissed回调。 寻找Windows气球通知吗? 例子 const toast = require ( 'powertoast' ) ; //CommonJS //OR import toast from 'powertoast' ; //ES
ssh-agent-helper:在Windows使用CMD,PowerShell等中的SSH密钥
05-12
SSH代理助手 在Windows使用CMD,PowerShell等中的SSH密钥 它可以解决什么问题? 如果要在命令提示符( cmd )或PowerShell中将ssh与SSH密钥(或通过SSH密钥进行身份验证的git )一起使用,则必须在终端上使用启动脚本,或者在每个实例上手动设置ssh-agent变量。 该程序只是使ssh-agent普遍适用于从Windows环境启动的程序。 这意味着您可以使用do ssh-add添加将在所有终端中可用的密钥。 并直接从命令提示符,PowerShell,Bash或其他任何工具中使用您宝贵的ssh和git 。 用法 从下载二进制文件。 ssh-agent-helper.exe :不带任何参数调用程序将导致运行ssh-agent并将SSH_AUTH_SOCK和SSH_AGENT_PID设置为当前用户的环境变量。 这将允许ssh-add , ssh或使
software-asset-windows-powershell:基于Windows Powershell的软件资产的示例模板
02-17
适用于Windows的示例CONS3RT软件资产 这是一个示例CONS3RT软件资产模板,可用于创建Windows Powershell资产。 将此仓库作为模板克隆,以在Windows上创建新的软件资产。 有关信息,请参见CONS3RT文档。 以下是典型的CONS3RT资产的README.md模板: 资产标题在这里 资产说明在这里 先决条件 先决条件/依赖项列表,例如: 需要Windows操作系统 需要Java .. .. 退出码 0 =资产安装成功 1 =检测到特定错误 2 =检测到特定错误 .. ..
windows使用ssh-copy-id命令的解决方案
最新发布
weixin_43178406的博客
04-22 3万+
本文主要介绍了windows使用ssh-copy-id命令的解决方案,希望能对使用windows的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2.1 方案一 2.2 方案二
计算机防火墙无法关闭,怎么关闭电脑防火墙(四种方法关闭Windows防火墙)
weixin_34439193的博客
07-04 1万+
如果Windows防火墙干扰了网络连接,请按照以下步骤完全关闭或禁用Windows防火墙。为了保护系统免受未经授权的传入和传出连接的侵害,Windows拥有内置的防火墙管理系统。使用Windows防火墙,用户可以设置特殊规则来控制哪些可以和不能连接到网络。如果Windows防火墙无法正常工作,或者安装了第三方防火墙软件,则可以轻松禁用Windows防火墙。注意:以下的操作步骤可在Windows 1...
Win10(1903/1909版本)关闭Windows defender的方法
小刀的博客-InfoMax极点信息-infomaxyz@qq.com
01-23 9763
有很多Win10 1903/1909版本的用户反馈Win10中自带的Windows defender无法关闭,即使组策略中关闭了也无效,这是由于新的版本Windowsdefender加入了防篡改保护,这导致关闭后也会自动开启,那么如何解决呢?只要关闭防篡改之后再从组策略中关闭就可以了。 步骤如下: 第一步:打开Defender设置,关闭实时保护”和“篡改保护”。 在Windows设置——更新...
关闭windows defender安全中心的方法
大IT职男日志
06-21 1万+
windows defender 安全中心,真的是shit,灵敏度太高了,一般的绿软都会被杀,而且是不提示直接删除,想反悔都没办法,并且 Windows Defender Antivirus 导致资源使用率高或系统出现其他问题引起间歇性的卡顿。所以必须关闭...
安全总结(一)--一键彻底关闭Win10自带Windows Defender杀毒软件
热门推荐
秋天的猿
08-03 22万+
来自:http://www.runker.net/windows-defender.html windows 10自带的Windows Defender杀毒软件,很多破解软件直接会被删除或者无法运行的,都不知道从哪里恢复加入白名单的,所以非常不符合中国国情。而且怎么关闭Windows Defender这个杀毒软件呢,今天行客教大家一个非常简单的方法。 首先鼠标右键点击电脑左下角windows图...
windows server2012中,在powershell中如何操作关闭windows defender
06-09
要在Windows Server 2012中使用PowerShell命令关闭Windows Defender,请按照以下步骤操作: 1. 以管理员身份打开PowerShell命令行窗口。 2. 输入以下命令以查看当前Windows Defender状态: Get-MpPreference 3. 要关闭Windows Defender,请使用以下命令: Set-MpPreference -DisableRealtimeMonitoring $true 这将禁用Windows Defender实时监控功能。 4. 如果需要重新启用Windows Defender,请使用以下命令: Set-MpPreference -DisableRealtimeMonitoring $false 这将启用Windows Defender实时监控功能。 请注意,关闭Windows Defender可能会导致安全风险,因此在执行此操作之前,请确保已经采取其他必要的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值