1
准备工作
一般来说,可以通过本地组策略编辑器来启用关闭Windows Defender防病毒程序,但是实质在虚拟机与物理机之间传递文件时,还是会被检测到并被查杀,同时在虚拟机里下载文件,免不了也会被检测并被查杀,也确实在一定程度会给实验环境带来不便。
上述设置关闭后,查看服务会发现确实已经停止了。
而且当前登录用户进行手工启动是不会成功,如下。
现在手工取消关闭防病毒程序,如下。
点击重新启动后,可以正常使用了。
2
关闭服务
WinDefend服务是受保护的服务,只能由另一个受保护的服务或受信任的安装程序禁用。此处采用一个PowerShell脚本通过本地管理员权限运行后开启一个具有TrustedInstaller权限的计划任务,并通过sc(服务管理程序)来禁用WinDefend服务,给WinDefend服务设置一些安全描述属性。
最后会设置服务的安全描述符,安全描述符字符串格式,设置拒绝访问,只能写不可执行。
PowerShell脚本如下:
$cmdline = '/C sc.exe config windefend start= disabled && sc.exe sdset windefend D:(D;;GA;;;WD)(D;;GA;;;OW)'
$a = New-ScheduledTaskAction -Execute "cmd.exe" -Argument $cmdline
Register-ScheduledTask -TaskName 'TestTask' -Action $a
$svc = New-Object -ComObject 'Schedule.Service'
$svc.Connect()
$user = 'NT SERVICETrustedInstaller'
$folder = $svc.GetFolder('')
$task = $folder.GetTask('TestTask')
$task.RunEx($null, 0, 0, $user)
执行完后,该服务已经消失了。
直接去服务列表查看也没有发现,如下。
想在本地执行扫描的时候已经无法扫描,如下。
无法启动,如下。
最后经测试,该服务已经无法正常运行,以后在虚拟机与物理机之前进行文件传递就方便了不少。
3
参考
I wasn't going to release this, but considering it's a combination of public techniques to get TrustedInstaller and use that to disable PPL Services here you go. Now we wait to see how long until it's detected as malware 😄 #BoycottWindowsDefender. https://t.co/4j72lVn3WU
— James Forshaw (@tiraniddo) May 6, 2020
https://gist.github.com/tyranid/c65520160b61ec851e68811de3cd646d
https://www.pstips.net/powershell-manipulating-scheduled-tasks.html
https://www.cnblogs.com/iBinary/p/11399114.html
https://docs.microsoft.com/zh-tw/windows/win32/secauthz/ace-strings
原文始发于微信公众号(OnionSec):关闭 Windows Defender 服务
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论