Redian新闻
>
致盲 windows defender

致盲 windows defender

科技

前言

Windows Defender是一款内置在Windows操作系统的杀毒软件程序,Windows Defender安全中心提供了基础的保护服务,可以防御病毒、木马程序、以及其它形式的恶意程序。它是Windows系统默认安装的程序。

排除

1、windows defender自动排除项

在Windows Defender的官方介绍中有一个叫做防病毒排除项,下面列出了一些进程、文件以及文件夹,这些进程、文件以及文件夹,是默认做为Windows Defender的白名单,所以我们可以对列出的的文件夹以及进程进行测试




手动新建PHP5433 然后复制木马重命名为php-cgi.exe,然后被秒杀了(测试木马为cs原始生成的)。



一个不能说明问题咱们再测一个,这次我们测试iis的根目录,安装iis服务然后将木马复制到该文件夹下。



显然这次的没有被删,就当我以为稳了,然后双击瞬间就噶了,Windows Defender直接杀疯了。之前在网上看别的师傅测试时都还没有问题,现在就噶了显然是官方注意到了这个问题然后悄悄的修复了。

2、自定义排除

既然有自动排除项肯定也有手动添加的排除项,这就牵扯到Windows Defender的另一个功能自定义排除,可以手动添加排除项,简单来说就是自动添加白名单,可以添加进程、文件以及文件夹



关于自定义排除项最简单的我们有两种利用方式,查询已经存在的排除项对其进行利用和手动添加排除项(需要管理员权限)

1、查询排除项

查看是否添加自定义排除项可以利用注册表,defender的排除项在注册表中可以查询到,而且查询的权限是everyone 任何权限都可以查看,这样我们就可以利用查询到的内容修改我们木马的名字以及路径。这里模拟了一下在冰蝎界面的查询(iis权限)。



通过上图我们可以看到有三个自定义的排除项(自己提前安排好的托),分别是desktop/k.exe、C:\PHP5433\、C:\inetpub\logs
所以这里我们就可以把木马的名称改为k.exe然后放在桌面上(先把桌面上正经的k.exe保存一份会被替换掉)然后再运行就不会被Windows Defender识别到,这种方式是首先需要目标服务器上有这个条件,如果没有设置那就是白忙活了。
很不幸的是在今年的二月份官方把这个修复了,修复也只是最新版的老版本的大部分还都不会更新所以还有很大一部分都是存在该问题。



最新版测试已经是不能查了



2、手动添加排除项

如果没有可以利用的排除项,那就自己添加,之前考虑过修改注册表,但是注册表只有查看权限想修改至少需要system,所以考虑其他方式,然后看到可以通过powershell 添加defender排除项,需要管理员权限即可


powershell -ExecutionPolicy Bypass Add-MpPreference-ExclusionPath "C:\inetpub\logs”


这样就把“C:\inetpub\logs”文件夹添加到了排除项,我们可以把木马文件直接放到该目录下执行即可。



既然是管理员权限了我们甚至还可以利用powershell直接关闭Windows Defender。(只能关闭实时防护不能关闭主动扫描 主动扫描还是会查杀出问题)

$preferences = Get-MpPreferenceSet-MpPreference -DisableRealtimeMonitoring (!$preferences.DisableRealtimeMonitoring


嘎掉

把Windows Defender彻底嘎掉

trusted installer权限

为了对抗恶意软件随意修改系统文件,Trustedinstaller 应运而生。TrustedInstaller 是从 Windows Vista 开始出现的一个内置安全主体,它的本体是“Windows Modules Installer”服务。在 Windows 中拥有修改系统文件权限,以一个用户组的形式出现。通常情况下,在使用 Windows Update 安装系统更新,开启关闭 Windows 功能时起非常重要的作用。
还有很多人对trusted installer权限和system权限的高低一直在比较,都是很高的权限 咱们这里不对他做探讨能用就行。因为要修改注册表所以需要高权限所以我们需要system或者trusted installer权限,这里做了测试权限提到system并不能关闭Windows Defender。

reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f


然后我们通过一个工具可以直接从管理员权限直接到trusted installer权限
AdvancedRun.exe
https://www.nirsoft.net/utils/advanced_run.html

通过该工具可以直接到trusted installer权限



运行后会弹出一个cmd窗口,显示为system权限其实是trusted installer权限,可以通过它直接关闭Windows Defender。



已经关闭。



正常情况下一般不会是图形化操作,所以我们需要通过终端来执行命令。

AdvancedRun.exe /EXEFilename "c:\windows\system32\cmd.exe" /CommandLine '"cmd /c reg add "HKLM\SOFTWARE\Microsoft\Windows Defender"/v DisableAntiSpyware /t reg_dword /d 1 /f"' /RunAs 8 /Run


搞定。



E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
硬核观察 #678 火星快车号上 Windows 98 时期的软件得到了更新里尔克诗译:女相命者- A Sybil如何在 Ubuntu/Linux 和 Windows 之间共享文件夹 | Linux 中国上一个说“丼”不读jǐng的人,已经被我骂哭了项羽和刘邦被交警抓住How China Can Better Protect Its Juvenile Offenders母亲节的礼物Chinese Experts Refute ‘Wrong’ Claims on Domestic COVID Vaccines分裂使 Linux 超越 Windows 的梦想破灭了 | Linux 中国如何双启动 Ubuntu 22.04 LTS 和 Windows 11 | Linux 中国世上最美的粉红海滩QR Codes Now Dominate Everyday Life. Seniors Feel Left Behind.如何在 Ubuntu 22.04 LTS 中安装 Docker 和 Docker Compose | Linux 中国K-town or Downtown? 洛杉矶AB面图鉴如何使用 Dockerfile 创建自定义 Docker 镜像 | Linux 中国在 Windows 上使用开源屏幕阅读器 NVDA | Linux 中国【CSR 可以refer了】信用卡 Refer a Friend 福利介绍如何在 Windows 中检查计算机正常运行时间走进繁花:卢森堡(3)-小镇的呢喃饥不择食?微软拉低 Windows “逼格”Chinese Embrace Remote Work — Just Not Under Lockdown硬核观察 #746 Apache OpenOffice 下载量超过 3.33 亿次,主要是 Windows 用户[5月28日]科学历史上的今天——鲁道夫·闵可夫斯基(Rudolph Minkowski)LA Dowtown这家店居然逆袭了?被新品牛蛙、生椒爆肥肠惊艳到…开源朗读者:我是如何帮助妈妈从 Windows 切换至 Linux 的 | Linux 中国如何从 Windows 上用 SSH 连接到 Linux | Linux 中国Shanghai Emerges From Lockdown to Familiar Sights and Sounds“选择住在Downtown高层的人后来后悔了吗?”When the Internet Knows Where You Live替换掉公司那台处理财务税务不得不用的 WindowsWindows 上也有《快捷指令》!用这款软件,助你效率提升 200%Windows对俄“断供”,国产操作系统还好用吗?Shanghai Rental Market Sees ‘Abrupt’ Post-Lockdown GrowthOpen House预告|远离网红滤镜,1133Hope凭何成为Downtown下一个卷王?怀念 Firefox Send 吗?不妨试试 Internxt Send 吧 | Linux 中国
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。