学到了
前言
不是啥技术文
不是研究免杀!只是测试排除项,还有一些踩的坑和自己的思考
由于看见最近又看见了一篇利用启动项Bypass Windows Defender
的文章,很是好奇(居然还可以?)遂来做下测试;感谢师傅们提出来的思路;
基本环境
Os:Windows Server 2016
Defender Version
测试内容
- 本机利用Windows自带的排除项是否能进行免杀
- 本地利用Powershell操作Defender进行添加排除项测试
- WebShell情况下利用Windows自带的排除项测试
- WebShell情况下利用PowerShell操作Defender进行添加排除项测试
- System情况下利用PowerShell操作Defender加排除项会不会对用户有效
利用PowerShell操作Defender的思路是群里一位师傅提出来的好思路
本机利用Windows自带的排除项是否能进行免杀
这个的思路也是我六月的时候看见的,参考:https://mp.weixin.qq.com/s/lyiPgBClGw2qvIwSJo3boA
路径 用途
%systemroot%\System32\dfsr.exe 文件复制服务
%systemroot%\System32\dfsrs.exe 文件复制服务
%systemroot%\System32\Vmms.exe HyperV虚拟机管理
%systemroot%\System32\Vmwp.exe HyperV虚拟机管理
%systemroot%\System32\ntfrs.exe ADDS相关支持
%systemroot%\System32\lsass.exe ADDS相关支持
%systemroot%\System32\dns.exe DNS服务
%SystemRoot%\system32\inetsrv\w3wp.exe WEB服务
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe WEB服务
%SystemDrive%\PHP5433\phpcgi.exe phpcgi服务
就以%SystemDrive%\PHP5433\php-cgi.exe,为例,也就是C:\盘下的PHP5433目录的php-cgi.exe
我直接拿cs默认生成的木马放到桌面来做测试会不会被杀
直接就没了
然后创建所需目录,wget下载
然后重新另存为php-cgi.exe到上面这个目录上
静态目前没有被杀,去尝试一下运行
但是... ,微软好像做了检验了(后来发现我想多了,不是校验的问题,是wget的问题)
再试试别的排除项文件,
根本就不行,本来想直接测试下一项了
突然发现是-o的问题应该
利用wget -o的东西会变的特别小 我直接从Server那里改名 然后wget,照样不行
这里就正常被杀掉了
最近某个文章是咋测试成功的 我很迷了就,这几天就更新了吗 我擦
WebShell情况下利用Windows自带的排除项测试
我觉得也是不可以的 ,但是以防万一我还是尝试下了
看见右下角就知道 直接没了
本地利用Powershell操作操作Defender进行添加排除项测试
这里就提到了那个师傅的思路了,感谢师傅的思路 令俺学到了新东西
利用powershell添加排除项
powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\test"
就是把c:\test这个目录加入了排除项
一点问题么有,查看排除项也确实加入了,测试运行上线
WebShell情况下利用PowerShell操作Defender进行添加排除项测试
获取webshell后 添加排除项,是administrator权限
然后去Defender设置那里 查看下排除项,已经成功添加
然后尝试 运行这个exe
所以目前测试 利用系统自带的排除项Defender该查杀还是会查杀的;用Add-MpPreference
方法能正常规避Defender的查杀
当晚测试完睡觉的时候就在想,System权限要是添加排除项 会不会对正常用户有影响,但是我第二天睡醒就把这件事忘了。。还是Jumbo师傅提了这么一嘴我才想起来
System情况下利用PowerShell操作Defender加排除项会不会对用户有效
我用system权限起了个简易的webshell环境进行测试
powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\muxue"
然后我新建了个用户查看 Defender的排除项
(administrator)
(test - 普通用户)
但是没法查看Defender设置 我就尝试在c:\muxue这个目录下尝试运行木马
非排除项目录直接杀了
尝试放在muxue目录下,运行
没有被杀
也就是拿到管理员用户就可以舒服了,重要的还得是权限问题
总结
利用PowerShell操作Defender的方法 添加排除项是可以的,只要权限够就可以
像现在利用Windows Defender自带的排除项 是不行的了,但是最近某些文章如何做到的我也不知道如何做到的(没更新Defender?);
准备着重看下这些关于操作Denferder的内容
https://docs.microsoft.com/en-us/powershell/module/defender/?view=windowsserver2019-ps