关闭 Windows Defender 服务

admin 2022年8月28日08:30:24安全闲碎评论9 views1248字阅读4分9秒阅读模式

1


准备工作



一般来说,可以通过本地组策略编辑器来启用关闭Windows Defender防病毒程序,但是实质在虚拟机与物理机之间传递文件时,还是会被检测到并被查杀,同时在虚拟机里下载文件,免不了也会被检测并被查杀,也确实在一定程度会给实验环境带来不便。





关闭 Windows Defender 服务




上述设置关闭后,查看服务会发现确实已经停止了。





关闭 Windows Defender 服务




关闭 Windows Defender 服务




而且当前登录用户进行手工启动是不会成功,如下。





关闭 Windows Defender 服务




关闭 Windows Defender 服务




现在手工取消关闭防病毒程序,如下。





关闭 Windows Defender 服务




关闭 Windows Defender 服务




关闭 Windows Defender 服务




点击重新启动后,可以正常使用了。





关闭 Windows Defender 服务




关闭 Windows Defender 服务




关闭 Windows Defender 服务


2


关闭服务



WinDefend服务是受保护的服务,只能由另一个受保护的服务或受信任的安装程序禁用。此处采用一个PowerShell脚本通过本地管理员权限运行后开启一个具有TrustedInstaller权限的计划任务,并通过sc(服务管理程序)来禁用WinDefend服务,给WinDefend服务设置一些安全描述属性。





关闭 Windows Defender 服务




最后会设置服务的安全描述符,安全描述符字符串格式,设置拒绝访问,只能写不可执行。


PowerShell脚本如下:

$cmdline = '/C sc.exe config windefend start= disabled && sc.exe sdset windefend D:(D;;GA;;;WD)(D;;GA;;;OW)'



$a = New-ScheduledTaskAction -Execute "cmd.exe" -Argument $cmdline

Register-ScheduledTask -TaskName 'TestTask' -Action $a


$svc = New-Object -ComObject 'Schedule.Service'

$svc.Connect()


$user = 'NT SERVICETrustedInstaller'

$folder = $svc.GetFolder('')

$task = $folder.GetTask('TestTask')

$task.RunEx($null, 0, 0, $user)






关闭 Windows Defender 服务




关闭 Windows Defender 服务




关闭 Windows Defender 服务




执行完后,该服务已经消失了。





关闭 Windows Defender 服务




直接去服务列表查看也没有发现,如下。





关闭 Windows Defender 服务




想在本地执行扫描的时候已经无法扫描,如下。





关闭 Windows Defender 服务




关闭 Windows Defender 服务




无法启动,如下。





关闭 Windows Defender 服务




关闭 Windows Defender 服务






最后经测试,该服务已经无法正常运行,以后在虚拟机与物理机之前进行文件传递就方便了不少。



3


参考

https://gist.github.com/tyranid/c65520160b61ec851e68811de3cd646d

https://www.pstips.net/powershell-manipulating-scheduled-tasks.html

https://www.cnblogs.com/iBinary/p/11399114.html

https://docs.microsoft.com/zh-tw/windows/win32/secauthz/ace-strings




原文始发于微信公众号(OnionSec):关闭 Windows Defender 服务

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日08:30:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  关闭 Windows Defender 服务 http://cn-sec.com/archives/699921.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: