CTF导航 CTF导航

一种禁用Windows Defender的思路

渗透技巧 5个月前 admin
87 0 0

no-defender

一种稍微有趣的方式禁用Windows Defender。

一种禁用Windows Defender的思路

工作原理

Windows中有一个WSC(Windows安全中心)服务,它被杀毒软件用来告知Windows,系统中已经安装了其他杀毒软件,因此Windows Defender应该被禁用。 这个WSC API没有公开文档,并且需要与微软签署NDA(保密协议)才能获得其文档,因此我决定对这种情况采取一种有趣的方法,使用了一个已经存在的杀毒软件Avast。这个杀毒软件引擎包括一个所谓的wsc_proxy.exe服务,它本质上为Avast设置了WSC API。 通过一点逆向工程,我将这个服务转变为可以添加我自己的东西的服务。

限制

遗憾的是,为了在重启后仍然保留这个WSC功能,no-defender将自己(实际上不是它自己,而是Avast的模块)添加到自动运行中。因此,你需要在磁盘上保留no-defender的二进制文件 🙁

使用方法

Usage: no-defender-loader [--help] [--version] [--disable] [--name VAR]

Optional arguments:
  -h, --help     显示帮助信息并退出
  -v, --version  打印版本信息并退出
  --disable      禁用no-defender功能
  --name         av名称 [默认: "github.com/es3n1n/no-defender"]

许可证

GPL-3.0


原文始发于微信公众号(3072):一种禁用Windows Defender的思路

版权声明:admin 发表于 2024年5月28日 下午1:45。
转载请注明:一种禁用Windows Defender的思路 | CTF导航

相关文章

Panabit panalog 任意用户创建漏洞和后台命令执行
admin
491
Kubernetes基础环境搭建
admin
687
每周云安全资讯-2022年第15周
admin
817
新型DDoS攻击?基于QUIC协议的DDoS反射放大攻击研究
admin
208
Directorio y esquema de Active Directory
admin
76
API NEWS | 关于API增长所带来的安全风险
admin
732

相关文章

Boolean-based SQL Injection in ZoneMinder v1.37.* <= 1.37.64
0
Open-Source Intelligence Summit 2024议题慢递
0
NTLM Relaying – Making the Old New Again
0
每日安全动态推送(24/11/4)
0
wuzhicms<=4.1.0后台RCE(0day)
0
每周蓝军技术推送(2024.10.26-11.1)
0
Apache Solr漏洞CVE-2024-45216分析
0
某小型cms漏洞复现审计
0
Distributed RPC Framework RemoteModule has Deserialization RCE in pytorch/pytorch(CVE-2024-48063)
0
JWT(JSON Web Token) 攻击面小结
0