前言1:何为公义,公平正义。我相信的即公平,我坚守的即正义。当代年轻人应多学习,多搞技术,别整天搞那些乌七八糟的东西。
前言2:前两天有人问我如何通过命令行kill掉Windows10自带的defender。今天就测了一下,顺带水一篇文章。
1.defender的进程及服务 要想杀掉defender,首先要知道defender开了哪些应用。通常这可以上网查到,但是作为安全圈莽夫的我,一般都是先测再说。 
可以看到Security有三个进程,不管是不是先杀为敬。
然后发现有个叫做SecurityHealthService.exe 杀不掉。
访问拒绝那就是权限不够喽,先提一个TrustedInstaller压压惊,如何提权见另一篇文章:TrustedInstaller 发现依旧KILL不掉,尝试关闭服务也失败了。后来通过改注册表把服务关了,但是依旧查杀。
2.组策略和注册表 接着尝试通过组策略和注册表关闭防病毒功能。
发现依旧查杀,后来上网搜关闭实时防护,改注册表,关机启动重启,均以失败告终。 
这时候正当想放弃的时候,想起了红衣教主的名言:只有。。。。没有。。。
3.通过UI抓行为 既然UI可以关闭防病毒,命令理应可以,不妨通过进程跟踪,抓取UI操作时所更改的注册表和执行的命令。
打开process monitor,进行监听进程变化。过滤其他无关EXE. 
然后如上图所示,点击实时防护的开和关。对期间的行为进行分析。
经过一段时间的分析,终于找到了关键值,并手动验证确认。
STAE的值代表defender实时防护的开与关。
其中: 开:0x00061100 关:0x00062100 下面我们通过实验来验证一下,通过浏览器下载mimikatz,很理所当然被杀了 
注册表STATE值变化成0x00062100 
再次下载mimikatz试试:
成功落地,其他的云防护,防篡改和自动提交也可以根据前面的办法抓行为进行更改,值得注意的是当注册表的值更改后,UI界面的值依旧是显示开 
写在最后:红衣教主说得对, 红衣教主还说过: 娱乐圈有三傻,
1,盛华 2,麒麟 3,.H....
| 
匿名
发表于 2021-3-4 21:35:31
