前言1:何为公义,公平正义。我相信的即公平,我坚守的即正义。当代年轻人应多学习,多搞技术,别整天搞那些乌七八糟的东西。
前言2:前两天有人问我如何通过命令行kill掉Windows10自带的defender。今天就测了一下,顺带水一篇文章。
1.defender的进程及服务
要想杀掉defender,首先要知道defender开了哪些应用。通常这可以上网查到,但是作为安全圈莽夫的我,一般都是先测再说。
tasklist |findstr Security
可以看到Security有三个进程,不管是不是先杀为敬。
kill /F /IM xxx.exe然后发现有个叫做SecurityHealthService.exe 杀不掉。
访问拒绝那就是权限不够喽,先提一个TrustedInstaller压压惊,如何提权见另一篇文章:TrustedInstaller
发现依旧KILL不掉,尝试关闭服务也失败了。后来通过改注册表把服务关了,但是依旧查杀。
2.组策略和注册表
接着尝试通过组策略和注册表关闭防病毒功能。
发现依旧查杀,后来上网搜关闭实时防护,改注册表,关机启动重启,均以失败告终。
这时候正当想放弃的时候,想起了红衣教主的名言:只有。。。。没有。。。
3.通过UI抓行为
既然UI可以关闭防病毒,命令理应可以,不妨通过进程跟踪,抓取UI操作时所更改的注册表和执行的命令。
打开process monitor,进行监听进程变化。过滤其他无关EXE.
然后如上图所示,点击实时防护的开和关。对期间的行为进行分析。
经过一段时间的分析,终于找到了关键值,并手动验证确认。
reg add "HKLMSOFTWAREMicrosoftSecurity CenterProviderAv{uid}" /v "STATE" /t REG_DWORD /d "0x00062100" /f
STAE的值代表defender实时防护的开与关。
其中:
开:0x00061100
关:0x00062100
下面我们通过实验来验证一下,通过浏览器下载mimikatz,很理所当然被杀了
注册表STATE值变化成0x00062100
再次下载mimikatz试试:
成功落地,其他的云防护,防篡改和自动提交也可以根据前面的办法抓行为进行更改,值得注意的是当注册表的值更改后,UI界面的值依旧是显示开
写在最后:红衣教主说得对,
红衣教主还说过:
娱乐圈有三傻,
1,盛华
2,麒麟
3,.H....
本文始发于微信公众号(边界骇客):how to kill the defender
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论