how to kill the defender

  • A+
所属分类:安全文章

前言1:何为公义,公平正义。我相信的即公平,我坚守的即正义。当代年轻人应多学习,多搞技术,别整天搞那些乌七八糟的东西。


前言2:前两天有人问我如何通过命令行kill掉Windows10自带的defender。今天就测了一下,顺带水一篇文章。



1.defender的进程及服务

要想杀掉defender,首先要知道defender开了哪些应用。通常这可以上网查到,但是作为安全圈莽夫的我,一般都是先测再说。

tasklist |findstr Security

how to kill the defender

可以看到Security有三个进程,不管是不是先杀为敬。

kill /F /IM xxx.exe

然后发现有个叫做SecurityHealthService.exe 杀不掉。

how to kill the defender

访问拒绝那就是权限不够喽,先提一个TrustedInstaller压压惊,如何提权见另一篇文章:TrustedInstaller

发现依旧KILL不掉,尝试关闭服务也失败了。后来通过改注册表把服务关了,但是依旧查杀。


2.组策略和注册表

接着尝试通过组策略和注册表关闭防病毒功能。

how to kill the defender

发现依旧查杀,后来上网搜关闭实时防护,改注册表,关机启动重启,均以失败告终。

how to kill the defender


这时候正当想放弃的时候,想起了红衣教主的名言:只有。。。。没有。。。


3.通过UI抓行为

既然UI可以关闭防病毒,命令理应可以,不妨通过进程跟踪,抓取UI操作时所更改的注册表和执行的命令。


打开process monitor,进行监听进程变化。过滤其他无关EXE.

how to kill the defender

然后如上图所示,点击实时防护的开和关。对期间的行为进行分析。

经过一段时间的分析,终于找到了关键值,并手动验证确认。

reg add "HKLMSOFTWAREMicrosoftSecurity CenterProviderAv{uid}" /v "STATE"  /t REG_DWORD /d "0x00062100" /f

STAE的值代表defender实时防护的开与关。

how to kill the defender

其中:

开:0x00061100

关:0x00062100

下面我们通过实验来验证一下,通过浏览器下载mimikatz,很理所当然被杀了

how to kill the defender

注册表STATE值变化成0x00062100

how to kill the defender

再次下载mimikatz试试:

how to kill the defender

成功落地,其他的云防护,防篡改和自动提交也可以根据前面的办法抓行为进行更改,值得注意的是当注册表的值更改后,UI界面的值依旧是显示开

how to kill the defender


写在最后:红衣教主说得对,

红衣教主还说过:

娱乐圈有三傻,

1,盛华

2,麒麟

3,.H....

本文始发于微信公众号(边界骇客):how to kill the defender

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: