前言

Windows Defender是一款内置在Windows操作系统的杀毒软件程序，Windows Defender安全中心提供了基础的保护服务，可以防御病毒、木马程序、以及其它形式的恶意程序。它是Windows系统默认安装的程序。

排除

1、windows defender自动排除项

在Windows Defender的官方介绍中有一个叫做防病毒排除项，下面列出了一些进程、文件以及文件夹，这些进程、文件以及文件夹，是默认做为Windows Defender的白名单，所以我们可以对列出的的文件夹以及进程进行测试

手动新建PHP5433 然后复制木马重命名为php-cgi.exe，然后被秒杀了(测试木马为cs原始生成的)。

一个不能说明问题咱们再测一个，这次我们测试iis的根目录，安装iis服务然后将木马复制到该文件夹下。

显然这次的没有被删，就当我以为稳了，然后双击瞬间就噶了，Windows Defender直接杀疯了。之前在网上看别的师傅测试时都还没有问题，现在就噶了显然是官方注意到了这个问题然后悄悄的修复了。

2、自定义排除

既然有自动排除项肯定也有手动添加的排除项，这就牵扯到Windows Defender的另一个功能自定义排除，可以手动添加排除项，简单来说就是自动添加白名单，可以添加进程、文件以及文件夹

关于自定义排除项最简单的我们有两种利用方式，查询已经存在的排除项对其进行利用和手动添加排除项（需要管理员权限）

1、查询排除项

查看是否添加自定义排除项可以利用注册表，defender的排除项在注册表中可以查询到，而且查询的权限是everyone 任何权限都可以查看，这样我们就可以利用查询到的内容修改我们木马的名字以及路径。这里模拟了一下在冰蝎界面的查询(iis权限)。

通过上图我们可以看到有三个自定义的排除项(自己提前安排好的托)，分别是desktop/k.exe、C:PHP5433、C:inetpublogs
所以这里我们就可以把木马的名称改为k.exe然后放在桌面上（先把桌面上正经的k.exe保存一份会被替换掉）然后再运行就不会被Windows Defender识别到，这种方式是首先需要目标服务器上有这个条件，如果没有设置那就是白忙活了。
很不幸的是在今年的二月份官方把这个修复了，修复也只是最新版的老版本的大部分还都不会更新所以还有很大一部分都是存在该问题。

最新版测试已经是不能查了

2、手动添加排除项

如果没有可以利用的排除项，那就自己添加,之前考虑过修改注册表，但是注册表只有查看权限想修改至少需要system，所以考虑其他方式，然后看到可以通过powershell 添加defender排除项，需要管理员权限即可

powershell -ExecutionPolicy Bypass Add-MpPreference-ExclusionPath "C:inetpublogs”

这样就把“C:inetpublogs”文件夹添加到了排除项，我们可以把木马文件直接放到该目录下执行即可。

既然是管理员权限了我们甚至还可以利用powershell直接关闭Windows Defender。(只能关闭实时防护不能关闭主动扫描 主动扫描还是会查杀出问题)

$preferences = Get-MpPreferenceSet-MpPreference -DisableRealtimeMonitoring (!$preferences.DisableRealtimeMonitoring

嘎掉

把Windows Defender彻底嘎掉

trusted installer权限

为了对抗恶意软件随意修改系统文件，Trustedinstaller 应运而生。TrustedInstaller 是从 Windows Vista 开始出现的一个内置安全主体，它的本体是“Windows Modules Installer”服务。在 Windows 中拥有修改系统文件权限，以一个用户组的形式出现。通常情况下，在使用 Windows Update 安装系统更新，开启关闭 Windows 功能时起非常重要的作用。
还有很多人对trusted installer权限和system权限的高低一直在比较，都是很高的权限 咱们这里不对他做探讨能用就行。因为要修改注册表所以需要高权限所以我们需要system或者trusted installer权限，这里做了测试权限提到system并不能关闭Windows Defender。

reg add "HKLMSOFTWAREMicrosoftWindows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f

然后我们通过一个工具可以直接从管理员权限直接到trusted installer权限
AdvancedRun.exe
https://www.nirsoft.net/utils/advanced_run.html

通过该工具可以直接到trusted installer权限

运行后会弹出一个cmd窗口，显示为system权限其实是trusted installer权限，可以通过它直接关闭Windows Defender。

已经关闭。

正常情况下一般不会是图形化操作,所以我们需要通过终端来执行命令。

AdvancedRun.exe /EXEFilename "c:windowssystem32cmd.exe" /CommandLine '"cmd /c reg add "HKLMSOFTWAREMicrosoftWindows Defender"/v DisableAntiSpyware /t reg_dword /d 1 /f"' /RunAs 8 /Run

搞定。

E

N

D

关

于

我

们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，团队致力于分享高质量原创文章、开源安全工具、交流安全技术，研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室，近三年来在网络安全技术方面开展研发项目60余项，获得各类自主知识产权30余项，省市级科技项目立项20余项，研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

原文始发于微信公众号（Tide安全团队）：致盲 windows defender