常见反病毒进程/服务/识别总结

  • A+
所属分类:安全文章

0x01 前言

上篇文章中给大家分享了一些我自己整理的常见WAF进程、服务以及用于识别WAF的相关项目,在这篇我将继续给大家分享一些常见反病毒的进程、服务以及识别反病毒的相关项目,至于文章中提到的一些绕过方法可能已经失效,不过还是可以作为参考的,都是以前实战项目中的笔记!

常见反病毒进程/服务/识别总结


0x02 常见反病毒进程和服务

(1) 金山毒霸

进程名:kxescore.exekupdata.exekxetray.exekwsprotect64.exe

(2) 360杀毒/卫士

服务名:ZhuDongFangYu(360主动防御的服务)、360 Skylar Service360杀毒进程名:360sd.exe、360tray.exe、360rp.exeLiveUpdate360.exezhudongfangyu.exe360卫士进程名:360Safe.exe、360Tray.exeLiveUpdate360.exeZhuDongFangYu.exe360天擎终端安全管理系统进程名:360skylarsvc.exe

(3) 腾讯电脑管家

服务名:QQPCRTP进程名:QQPCRTP.exeQQPCTray.exeQQPCNetFlow.exeQQPCRealTimeSpeedup.exe

(4) 火绒安全软件

服务名:HipsDaemon进程名:HipsDaemon.exeHipsTray.exeHipsLog.exeHipsMain.exeusysdiag.exewsctrl.exe

(5) AVG

进程名:avg.exeavgwdsvc.exe

(6) Avast

进程名:AvastUI.exeashDisp.exe

(7) ESET NOD32 Antivirus

服务名:ekrn进程名:egui.exeeguiProxy.exeekrn.exeEShaSrv.exe

(8) ClemWin Free Antivirus

进程名:ClamTray.execlamscan.exe

(9) Sophos Anti-Virus、Sophos Endpoint Security and Control

服务名:Sophos Web ControlSAVServiceSAVAdminServiceswi_serviceswi_filter进程名:SavMain.exeSavProgress.exe

(10) Malwarebytes Anti-Malware、Malwarebytes Premium Trial

服务名:MBAMService进程名:MBAMService.exembam.exembamtray.exe

(11) GData(德国一款安全防护软件)

  • 绕过防护:停止AntiVirusKit Client服务,禁用AVKWCtl服务,结束AVKWCtl.exe进程。

服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)、AVKProxy(G Data杀毒代理)、GDBackupSvc(G Data备份服务)进程名:GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe

(12) PC-cillin趋势反病毒、趋势科技防毒墙网络版客户端

  • 绕过防护:趋势科技防毒墙网络版客户端可直接用taskkill /f /im ntrtscan.exe命令结束进程来停止实时防护功能,1分钟左右后自动启动并恢复该进程。

进程名:ntrtscan.exeTMBMSRV.exe

(13) McAfee AVERT Stinger、McAfee VirusScan Enterprise(麦咖啡)

  • 关闭防护:打开VirusScan控制台,关闭“按访问扫描程序”。

服务名:McTaskManagerMcShieldmfevtpMcAfeeEngineServiceMcAfeeFramework进程名:Tbmon.exeshstat.exeMcTray.exemfeann.exemfevtps.exeUdaterUI.exenaPrdMgr.exeVsTskMgr.exeMcShield.exeEngineServer.exeFrameworkService.exe

(14) Symantec endpoint protection(赛门铁克)

  • 绕过防护:可用shellter第三方工具免杀MSF Payload即可成功绕过,在实战中有过成功案例。

服务名:ccEvtMgrccSetMgr进程名:ccEvtMgr.execcSetMgr.execcsvchst.exertvscan.exesmc.exesmcGui.exesnac.exe

(15) Kaspersky卡巴斯基企业版/服务器版

  • Kaspersky Endpoint SecurityKaspersky Anti-Virus 8.0企业版

  • 关闭防护:右键托盘图标,恢复保护和控制。

  • 绕过防护:Admins/System权限下可以Kill掉kavtray.exe、kavfswp.exe进程(执行3-4次),成功后会自动运行进程,但中间会间隔几秒后保护功能才生效,快速将MSF Payload传上去并执行。klnagent.exe,kavfs.exe进程在System、Administrators权限下都Kill不掉 ,显示Kill掉成功后又会自动运行进程,朋友说一般杀毒软件都有自保护功能。

服务名:AVP(保护计算机远离病毒、木马、蠕虫、间谍软件和计算机犯罪。)进程名:avp.exekavfs.exeKaspersky Anti-Virus Service)、klnagent.exeKaspersky Administraton Kit Network Agent)、kavtray.exeKaspersky Anti-Virus tray app“主进程”)、kavfswp.exeKaspersky Anti-Virus worker process

(16) Windows Defender(微软)

  • Microsoft Security Essentials(Win7/2k3)

  • System Center Endpoint Protection(2k8/12)

  • Windows Defender Antivirus(Win8/10/2k16)

  • 关闭防护:settings -> Read-time Protection->Enable real-time protection(勾去掉!)。

服务名:WinDefendMsMpSvc(帮助用户防止恶意软件及其他潜在的垃圾软件。)进程名:MsMpEng.exeNisSrv.exeMsSense.exemsseces.exeMpCmdRun.exeMSASCui.exeMSASCuiL.exeSecurityHealthService.exe


0x03 反病毒识别的相关项目

(1) get_AV

get_AV项目是@Se7en大佬用PHP写的一个Windows杀软在线对比辅助程序,并且自带了一些杀软进程数据,可以将我们自己搜集整理的杀软进程列表整合起来一起使用
常见反病毒进程/服务/识别总结

(2) SharpAVKB

SharpAVKB项目是@Uknow大佬用C#写的一款KB补丁编号杀软进程对比工具,这里我将以前自己搜集的这些WAF和反病毒软件的进程添加至SharpAVKB中,然后重新编译一下即可,可以直接用CobaltStrike的execute-assembly命令将该工具直接加载到内存中执行。

常见反病毒进程/服务/识别总结


(3) ProcessTree

ProcessTree.cna是CobaltStrike中的一款用于ps命令显示进程数并上色的插件,常见管理员工具进程为青色,浏览器进程为绿色,安全防护软件进程为红色,可在插件代码中自行添加相关进程。

常见反病毒进程/服务/识别总结


(4) 项目地址

  • https://github.com/gh0stkey/avList

  • https://github.com/r00tSe7en/get_AV

  • https://github.com/uknowsec/SharpAVKB

  • https://github.com/3had0w/Antivirus-detection

  • https://github.com/ars3n11/Aggressor-Scripts

常见反病毒进程/服务/识别总结


一如既往的学习,一如既往的整理,一如即往的分享。感谢支持常见反病毒进程/服务/识别总结

“如侵权请私聊公众号删文”



扫描关注LemonSec

常见反病毒进程/服务/识别总结

觉得不错点个“赞”、“在看”哦常见反病毒进程/服务/识别总结

本文始发于微信公众号(LemonSec):常见反病毒进程/服务/识别总结

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: