利用微软工具击败windows自带的防御系统

admin
admin
admin
138635
文章
114
评论
2025年3月12日19:56:33评论7 views字数 1948阅读6分29秒阅读模式
本⽂由⽩帽师傅Fiend-0225分享,通过微软发行的procmon的驱动任意读写,对windows的自带杀软进行根文件篡改,从而破坏掉windows自带的安全防御能力,实现以子之矛,攻子之盾的效果。

免责申明:仅⽤于安全技术研究,严禁被⽤于其他⽬的,公众号⻓期征收以下类型的技术⽂章,windows安全,android安全,linux安全,web安全,内⽹安全,欢迎各位师傅投稿。

0X01 前言摘要

Procmon,即ProcessMonitor,是微软公司发布的一款强大的系统监控工具,通过内核驱动拦截和过滤各种进程、文件、注册表等系统操作,以便用户分析Windows运行时行为。

由于Procmon具备驱动级别的权限,因此我们可以利用它的一些特性,结合符号链接,实现对Windows Defender关键文件MsMpEng.exe的修改。

在Windows中,直接尝试修改C:ProgramFilesWindows DefenderMsMpEng.exe会被Defender保护机制拦截,因此我们需要借助服务或内核驱动进行更改。

利用微软工具击败windows自带的防御系统

本方法的核心是利用Procmon的日志写入功能,结合符号链接,实现对windows的自带杀毒软件的核心程序MsMpEng.exe 的覆盖替换,从而崩溃windows的主动防御能力。

0X02 技术原理

1. Procmon 的驱动层权限

Procmon 依赖内核驱动 PROCMON24.SYS(版本号可能不同),该驱动具备读写系统关键文件和日志记录的能力。其主要作用包括:

  • 监控进程访问文件、注册表、网络通信等行为

  • 以 系统权限进行日志记录和筛选

  • 允许用户保存日志数据(默认路径:C:WindowsProcMon.pmb

利用这一特性,我们可以借助Procmon在高权限下创建或修改文件,然后通过符号链接引导其日志数据覆盖 Defender 关键文件。

2. 符号链接(Symbolic Links)攻击

Windows 支持 NTFS 符号链接 (mklink),这意味着我们可以:

  • 将 C:WindowsProcMon.pmb重定向到 MsMpEng.exe

  • 使 Procmon 在日志记录过程中误写入 Defender目录,覆盖原文件

  • 由于 Procmon 运行于内核模式,写入的日志数据不会受Defender保护限制

0X03 完整流程

1: 运行 Procmon 并接受 EULA

Procmon在首次运行时会弹出用户许可协议(EULA),如果不点击“同意”,则无法使用。但我们可以直接通过命令行方式跳过此步骤:

利用微软工具击败windows自带的防御系统

Procmon64.exe /accepteula

此命令执行后,Procmon 会正常启动并加载其驱动。

2: 启动并关闭 Procmon 以准备日志文件

利用微软工具击败windows自带的防御系统

taskkill /f /t /im Procmon64.exe
Procmon64.exe /EnableBootLogging

此命令执行后:

  • EnableBootLogging 选项会让 Procmon 记录开机时的系统活动,生成日志文件

  • 日志文件默认存储于C:WindowsProcMon.pmb

3: 创建符号链接,指向 MsMpEng.exe

mklink C:WindowsProcMon.pmb "C:Program FilesWindows DefenderMsMpEng.exe"

此命令会创建一个符号链接,使得任何对C:WindowsProcMon.pmb进行的写入操作,都会实际写入 MsMpEng.exe。

4: 重新启动计算机,使 Procmon 记录日志并覆盖 Defender

重启后,Procmon会尝试写入procMon.pmb文件,由于符号链接的存在,日志内容将直接写入 MsMpEng.exe,从而破坏 Defender 可执行文件,使其无法正常运行。

利用微软工具击败windows自带的防御系统

利用微软工具击败windows自带的防御系统

0X04 验证效果

如果 Defender 进程不再运行,说明 MsMpEng.exe 已损坏或失效

如果 Defender 仍然运行,则可能由于MsMpEng.exe 存储位置已更改(更新后路径不同)因为Defender更新过后位置可能不在默认位置,如下图,此时需要更换对应符号链接路径

利用微软工具击败windows自带的防御系统

0X05 总结

本方法的核心思路是利用Procmon内核驱动的日志写入能力,绕过Windows Defender保护机制,实现对 MsMpEng.exe 关键文件的修改或损坏。此方法的优势包括:

  • 利用内核权限写入,规避普通进程权限限制

  • 方法隐蔽,在 GUI 界面下 Procmon 窗口仅一闪而过,难以察觉

但也要注意,Defender可能会更新其存储路径,因此需要确认MsMpEng.exe的实际位置,并调整符号链接的目标地址,同时驱动行为需要管理员权限,需要UAC提权后运行,本方法只是提供一个思路,针对其他杀毒软件可自行测试。

原文始发于微信公众号(酒仙桥六号部队):利用微软工具击败windows自带的防御系统

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月12日19:56:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用微软工具击败windows自带的防御系统https://cn-sec.com/archives/3834605.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息