Windows Defender 排除项

前言

不是啥技术文
不是研究免杀!只是测试排除项,还有一些踩的坑和自己的思考
由于看见最近又看见了一篇利用启动项Bypass Windows Defender的文章,很是好奇(居然还可以?)遂来做下测试;感谢师傅们提出来的思路;

基本环境

  • Os:Windows Server 2016
20210929224404-b148adb6-2133-1

Defender Version

20210929224437-c551b9ba-2133-1

测试内容

  1. 本机利用Windows自带的排除项是否能进行免杀
  2. 本地利用Powershell操作Defender进行添加排除项测试
  3. WebShell情况下利用Windows自带的排除项测试
  4. WebShell情况下利用PowerShell操作Defender进行添加排除项测试
  5. System情况下利用PowerShell操作Defender加排除项会不会对用户有效

利用PowerShell操作Defender的思路是群里一位师傅提出来的好思路

20210929224540-ea9771f6-2133-1

本机利用Windows自带的排除项是否能进行免杀

这个的思路也是我六月的时候看见的,参考:https://mp.weixin.qq.com/s/lyiPgBClGw2qvIwSJo3boA

路径                                  用途
%systemroot%System32dfsr.exe          文件复制服务
%systemroot%System32dfsrs.exe         文件复制服务
%systemroot%System32Vmms.exe          HyperV虚拟机管理
%systemroot%System32Vmwp.exe          HyperV虚拟机管理
%systemroot%System32ntfrs.exe         ADDS相关支持
%systemroot%System32lsass.exe         ADDS相关支持
%systemroot%System32dns.exe           DNS服务
%SystemRoot%system32inetsrvw3wp.exe  WEB服务
%SystemRoot%SysWOW64inetsrvw3wp.exe  WEB服务
%SystemDrive%PHP5433phpcgi.exe        phpcgi服务

可以看下微软的文章
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide#list-of-automatic-exclusions

就以%SystemDrive%PHP5433php-cgi.exe,为例,也就是C:盘下的PHP5433目录的php-cgi.exe

我直接拿cs默认生成的木马放到桌面来做测试会不会被杀

20210929225404-16f9ed36-2135-1

直接就没了

然后创建所需目录,wget下载

20210929225426-244f6c40-2135-1

然后重新另存为php-cgi.exe到上面这个目录上

20210929225533-4c0b18ce-2135-1

静态目前没有被杀,去尝试一下运行
但是… ,微软好像做了检验了(后来发现我想多了,不是校验的问题,是wget的问题)

20210929225625-6aec30a2-2135-1

再试试别的排除项文件,

20210929225641-7491318e-2135-1

根本就不行,本来想直接测试下一项了
突然发现是-o的问题应该

20210929225728-90d2aa30-2135-1

利用wget -o的东西会变的特别小 我直接从Server那里改名 然后wget,照样不行

20210929225750-9e042e4a-2135-1

这里就正常被杀掉了

20210929225809-a9181166-2135-1


20210929225842-bcf95474-2135-1

最近某个文章是咋测试成功的 我很迷了就,这几天就更新了吗 我擦

WebShell情况下利用Windows自带的排除项测试

我觉得也是不可以的 ,但是以防万一我还是尝试下了

20210929225955-e8120e26-2135-1


看见右下角就知道 直接没了

本地利用Powershell操作操作Defender进行添加排除项测试

这里就提到了那个师傅的思路了,感谢师傅的思路 令俺学到了新东西

利用powershell添加排除项
powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:test"

就是把c:test这个目录加入了排除项

20210929230131-21608f54-2136-1

一点问题么有,查看排除项也确实加入了,测试运行上线

20210929230236-47f42ff4-2136-1

WebShell情况下利用PowerShell操作Defender进行添加排除项测试

获取webshell后 添加排除项,是administrator权限

20210929230323-6467111a-2136-1

然后去Defender设置那里 查看下排除项,已经成功添加

20210929230407-7e496736-2136-1

然后尝试 运行这个exe

20210929230739-fc948c74-2136-1


所以目前测试 利用系统自带的排除项Defender该查杀还是会查杀的;用Add-MpPreference方法能正常规避Defender的查杀

当晚测试完睡觉的时候就在想,System权限要是添加排除项 会不会对正常用户有影响,但是我第二天睡醒就把这件事忘了。。还是Jumbo师傅提了这么一嘴我才想起来

System情况下利用PowerShell操作Defender加排除项会不会对用户有效

我用system权限起了个简易的webshell环境进行测试

20210929231115-7d8fc9b0-2137-1

powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:muxue"
然后我新建了个用户查看 Defender的排除项
(administrator)

20210929231327-cc0b4c18-2137-1


(test – 普通用户)
但是没法查看Defender设置 我就尝试在c:muxue这个目录下尝试运行木马
非排除项目录直接杀了

20210929232352-409cb37c-2139-1

尝试放在muxue目录下,运行

20210929232536-7e80a72a-2139-1

没有被杀

20210929232551-87a589ba-2139-1

也就是拿到管理员用户就可以舒服了,重要的还得是权限问题

总结

利用PowerShell操作Defender的方法 添加排除项是可以的,只要权限够就可以
像现在利用Windows Defender自带的排除项 是不行的了,但是最近某些文章如何做到的我也不知道如何做到的(没更新Defender?);
准备着重看下这些关于操作Denferder的内容
https://docs.microsoft.com/en-us/powershell/module/defender/?view=windowsserver2019-ps


转载自

https://xz.aliyun.com/t/10317

本文转载自https://xz.aliyun.com/t/10317,只做本站测试使用,本文观点不代表安强科技社区立场。

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年3月18日 上午10:15
下一篇 2022年3月18日 上午11:01

相关推荐

发表回复

您的电子邮箱地址不会被公开。