how to kill the defender
<div style="max-width:677px !important;"><p><strong>前言1:何为公义,公平正义。我相信的即公平,我坚守的即正义。当代年轻人应多学习,多搞技术,别整天搞那些乌七八糟的东西。<br></strong></p><p><br></p><p><strong>前言2:前两天有人问我如何通过命令行kill掉Windows10自带的defender。今天就测了一下,顺带水一篇文章。</strong></p><hr style="border-style: solid;border-width: 1px 0 0;border-color: rgba(0,0,0,0.1);-webkit-transform-origin: 0 0;-webkit-transform: scale(1, 0.5);transform-origin: 0 0;transform: scale(1, 0.5);"><p><br></p><p><strong>1.defender的进程及服务</strong></p><p>要想杀掉defender,首先要知道defender开了哪些应用。通常这可以上网查到,但是作为安全圈莽夫的我,一般都是先测再说。</p><section class="code-snippet__fix code-snippet__js"><ul class="code-snippet__line-index code-snippet__js"><li></li></ul><pre class="code-snippet__js" data-lang="nginx"><code><span class="code-snippet_outer"><span class="code-snippet__attribute">tasklist</span> |findstr Security</span></code></pre></section><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/e09556a19505976fa4d626ef9c2aa3ba.png"></span></p><p>可以看到<span style="white-space:pre-wrap;font-family: Consolas, "Liberation Mono", Menlo, Courier, monospace;font-size: 14px;text-align: left;background-color: rgba(0, 0, 0, 0.03);">Security</span>有三个进程,不管是不是先杀为敬。<br></p><section class="code-snippet__fix code-snippet__js"><ul class="code-snippet__line-index code-snippet__js"><li></li></ul><pre class="code-snippet__js" data-lang="bash"><code><span class="code-snippet_outer"><span class="code-snippet__built_in">kill</span> /F /IM xxx.exe</span></code></pre></section><p>然后发现有个叫做SecurityHealthService.exe 杀不掉。<br></p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width: 100%; cursor: pointer; opacity: 1;" src="https://www.ihonker.org/data/attachment/forum/202103/04/2e33a45442c958cfe05a6195342bbded.png"></span></p><p>访问拒绝那就是权限不够喽,先提一个TrustedInstaller压压惊,如何提权见另一篇文章:<a target="_blank" href="http://mp.weixin.qq.com/s?__biz=MzU1NTkzMTYxOQ==&mid=2247484383&idx=1&sn=192a08e9f9349fe9dbfee2d4d4d1c195&chksm=fbcd8153ccba0845b1d8f10aea1984bb90d7b6e77062efe74ee7d803fcfa3fe90844880fad18&scene=21#wechat_redirect" textvalue="TrustedInstaller" data-itemshowtype="0" tab="innerlink" data-linktype="2">TrustedInstaller</a></p><p>发现依旧KILL不掉,尝试关闭服务也失败了。后来通过改注册表把服务关了,但是依旧查杀。<br></p><p><br></p><p style="white-space: normal;"><strong>2.组策略和注册表</strong></p><p style="white-space: normal;">接着尝试通过组策略和注册表关闭防病毒功能。<strong><br></strong></p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/c0141e45fc9060e3be0589abf01cfd3d.png"></span></p><p style="white-space: normal;">发现依旧查杀,后来上网搜关闭实时防护,改注册表,关机启动重启,均以失败告终。</p><p style="white-space: normal;text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/1aedccf8a52908b48991c02d7766bc95.jpeg"></span></p><p style="white-space: normal;"><br></p><p style="white-space: normal;">这时候正当想放弃的时候,想起了红衣教主的名言:只有。。。。没有。。。</p><p style="white-space: normal;"><br></p><p style="white-space: normal;"><strong style="white-space: normal;">3.通过UI抓行为</strong></p><p style="white-space: normal;">既然UI可以关闭防病毒,命令理应可以,不妨通过进程跟踪,抓取UI操作时所更改的注册表和执行的命令。</p><p style="white-space: normal;"><br></p><p style="white-space: normal;">打开process monitor,进行监听进程变化。过滤其他无关EXE.</p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/afaa755b9162d7d7eb2abf7624a21a9e.png"></span></p><p style="text-align: left;">然后如上图所示,点击实时防护的开和关。对期间的行为进行分析。<br></p><p style="text-align: left;">经过一段时间的分析,终于找到了关键值,并手动验证确认。<br></p><section class="code-snippet__fix code-snippet__js"><ul class="code-snippet__line-index code-snippet__js"><li></li><li></li></ul><pre class="code-snippet__js" data-lang="cs"><code><span class="code-snippet_outer">reg <span class="code-snippet__keyword">add</span> <span class="code-snippet__string">"HKLM\SOFTWARE\Microsoft\Security Center\Provider\Av\</span></span></code><code><span class="code-snippet_outer"><span class="code-snippet_outer">{uid}"</span> /v <span class="code-snippet__string">"STATE"</span> /t REG_DWORD /d <span class="code-snippet__string">"0x00062100"</span> /f</span></code></pre></section><p style="text-align: left;">STAE的值代表defender实时防护的开与关。<br></p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/4fa52fa2e59d4a6a9155ba39a3d485b0.png"></span></p><p style="text-align: left;">其中:</p><p style="text-align: left;">开:0x00061100</p><p style="text-align: left;"><span style="text-align: left;"></span><span style="text-align: left;">关:</span><span style="text-align: left;">0x00062100</span></p><p style="text-align: left;">下面我们通过实验来验证一下,通过浏览器下载mimikatz,很理所当然被杀了</p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/51ecc08f964820176b00d44af33cb583.png"></span></p><p style="text-align: left;"><span style="text-align: left;"></span></p><p style="text-align: left;">注册表STATE值变化成0x00062100</p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/e6c27827c89264a2c2ffa7d2275b20c4.png"></span></p><p style="text-align: left;">再次下载mimikatz试试:<br></p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/52429747a846ee132fc27055edda1964.png"></span></p><p style="text-align: left;">成功落地,其他的云防护,防篡改和自动提交也可以根据前面的办法抓行为进行更改,值得注意的是当注册表的值更改后,UI界面的值依旧是显示开</p><p style="text-align: center;"><span><img title="双击删除图片" class="onloadimg" style="max-width:100%;" src="https://www.ihonker.org/data/attachment/forum/202103/04/b91739308a2028155fbe194d8bf4e622.png"></span></p><p style="text-align: left;"><br></p><p style="text-align: left;"><strong>写在最后:红衣教主说得对,</strong></p><p style="text-align: left;"><strong>红衣教主还说过:</strong></p><p style="text-align: left;"><strong>娱乐圈有三傻,<br></strong></p><p style="text-align: left;"><strong>1,盛华</strong></p><p style="text-align: left;"><strong>2,麒麟</strong></p><p style="text-align: left;"><strong>3,.H....</strong></p>
</div>
页:
[1]