前言

不是啥技术文
不是研究免杀！只是测试排除项，还有一些踩的坑和自己的思考
由于看见最近又看见了一篇利用启动项Bypass Windows Defender的文章，很是好奇（居然还可以？）遂来做下测试；感谢师傅们提出来的思路；

基本环境

• Os：Windows Server 2016
  

• Defender Version
  

测试内容

1. 本机利用Windows自带的排除项是否能进行免杀
2. 本地利用Powershell操作Defender进行添加排除项测试
3. WebShell情况下利用Windows自带的排除项测试
4. WebShell情况下利用PowerShell操作Defender进行添加排除项测试
5. System情况下利用PowerShell操作Defender加排除项会不会对用户有效

利用PowerShell操作Defender的思路是群里一位师傅提出来的好思路

本机利用Windows自带的排除项是否能进行免杀

这个的思路也是我六月的时候看见的，参考：https://mp.weixin.qq.com/s/lyiPgBClGw2qvIwSJo3boA

路径                                  用途
%systemroot%\System32\dfsr.exe          文件复制服务
%systemroot%\System32\dfsrs.exe         文件复制服务
%systemroot%\System32\Vmms.exe          HyperV虚拟机管理
%systemroot%\System32\Vmwp.exe          HyperV虚拟机管理
%systemroot%\System32\ntfrs.exe         ADDS相关支持
%systemroot%\System32\lsass.exe         ADDS相关支持
%systemroot%\System32\dns.exe           DNS服务
%SystemRoot%\system32\inetsrv\w3wp.exe  WEB服务
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe  WEB服务
%SystemDrive%\PHP5433\phpcgi.exe        phpcgi服务

可以看下微软的文章
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide#list-of-automatic-exclusions

就以%SystemDrive%\PHP5433\php-cgi.exe，为例，也就是C:\盘下的PHP5433目录的php-cgi.exe

我直接拿cs默认生成的木马放到桌面来做测试会不会被杀

直接就没了

然后创建所需目录，wget下载

然后重新另存为php-cgi.exe到上面这个目录上

静态目前没有被杀，去尝试一下运行
但是... ，微软好像做了检验了(后来发现我想多了，不是校验的问题，是wget的问题)

再试试别的排除项文件，

根本就不行，本来想直接测试下一项了
突然发现是-o的问题应该

利用wget -o的东西会变的特别小 我直接从Server那里改名 然后wget，照样不行

这里就正常被杀掉了

最近某个文章是咋测试成功的 我很迷了就，这几天就更新了吗 我擦

WebShell情况下利用Windows自带的排除项测试

我觉得也是不可以的 ，但是以防万一我还是尝试下了

看见右下角就知道 直接没了

本地利用Powershell操作操作Defender进行添加排除项测试

这里就提到了那个师傅的思路了，感谢师傅的思路 令俺学到了新东西

利用powershell添加排除项
powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\test"

就是把c:\test这个目录加入了排除项

一点问题么有，查看排除项也确实加入了，测试运行上线

WebShell情况下利用PowerShell操作Defender进行添加排除项测试

获取webshell后 添加排除项，是administrator权限

然后去Defender设置那里 查看下排除项，已经成功添加

然后尝试 运行这个exe

所以目前测试 利用系统自带的排除项Defender该查杀还是会查杀的；用Add-MpPreference方法能正常规避Defender的查杀

当晚测试完睡觉的时候就在想，System权限要是添加排除项 会不会对正常用户有影响，但是我第二天睡醒就把这件事忘了。。还是Jumbo师傅提了这么一嘴我才想起来

System情况下利用PowerShell操作Defender加排除项会不会对用户有效

我用system权限起了个简易的webshell环境进行测试

powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\muxue"
然后我新建了个用户查看 Defender的排除项
(administrator)

(test - 普通用户)
但是没法查看Defender设置 我就尝试在c:\muxue这个目录下尝试运行木马
非排除项目录直接杀了

尝试放在muxue目录下，运行

没有被杀

也就是拿到管理员用户就可以舒服了，重要的还得是权限问题

总结

利用PowerShell操作Defender的方法 添加排除项是可以的，只要权限够就可以
像现在利用Windows Defender自带的排除项 是不行的了，但是最近某些文章如何做到的我也不知道如何做到的(没更新Defender？)；
准备着重看下这些关于操作Denferder的内容
https://docs.microsoft.com/en-us/powershell/module/defender/?view=windowsserver2019-ps