查看: 15590|回复: 0

how to kill the defender

[复制链接]
匿名
匿名  发表于 2021-3-4 21:35:31 |阅读模式

前言1:何为公义,公平正义。我相信的即公平,我坚守的即正义。当代年轻人应多学习,多搞技术,别整天搞那些乌七八糟的东西。


前言2:前两天有人问我如何通过命令行kill掉Windows10自带的defender。今天就测了一下,顺带水一篇文章。



1.defender的进程及服务

要想杀掉defender,首先要知道defender开了哪些应用。通常这可以上网查到,但是作为安全圈莽夫的我,一般都是先测再说。

可以看到Security有三个进程,不管是不是先杀为敬。

然后发现有个叫做SecurityHealthService.exe 杀不掉。

访问拒绝那就是权限不够喽,先提一个TrustedInstaller压压惊,如何提权见另一篇文章:TrustedInstaller

发现依旧KILL不掉,尝试关闭服务也失败了。后来通过改注册表把服务关了,但是依旧查杀。


2.组策略和注册表

接着尝试通过组策略和注册表关闭防病毒功能。

发现依旧查杀,后来上网搜关闭实时防护,改注册表,关机启动重启,均以失败告终。


这时候正当想放弃的时候,想起了红衣教主的名言:只有。。。。没有。。。


3.通过UI抓行为

既然UI可以关闭防病毒,命令理应可以,不妨通过进程跟踪,抓取UI操作时所更改的注册表和执行的命令。


打开process monitor,进行监听进程变化。过滤其他无关EXE.

然后如上图所示,点击实时防护的开和关。对期间的行为进行分析。

经过一段时间的分析,终于找到了关键值,并手动验证确认。

STAE的值代表defender实时防护的开与关。

其中:

开:0x00061100

关:0x00062100

下面我们通过实验来验证一下,通过浏览器下载mimikatz,很理所当然被杀了

注册表STATE值变化成0x00062100

再次下载mimikatz试试:

成功落地,其他的云防护,防篡改和自动提交也可以根据前面的办法抓行为进行更改,值得注意的是当注册表的值更改后,UI界面的值依旧是显示开


写在最后:红衣教主说得对,

红衣教主还说过:

娱乐圈有三傻,

1,盛华

2,麒麟

3,.H....

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-22 10:58 , Processed in 0.052790 second(s), 12 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部