Bypass_AV - Windows Defender

  • Bypass_AV - Windows Defender已关闭评论
  • 15 views
  • A+
所属分类:安全文章

0x01 官方文档

咪乐|直播|原名花茶|直播| 他表示,深入学习领会、全面贯彻落实十九大精神,以新时代中国特色社会主义思想为指引,是做好基层党建创新案例的评选工作、进一步推动基层党建创新的政治保证。

参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/?view=o365-worldwideBypass_AV - Windows Defender

我们可以从官方文档里面找到一些关于Def的资料,以及它扫描的时候排除什么,关注什么!通过它的疏忽我们来绕过Windows Defender!

0x02 开始查找

搜索关键词:Antivirus exclusionsBypass_AV - Windows Defender

我找到了其中一个文档

参考文档:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide

概括

本文概述了Windows Server 2016更高版本上Microsoft Defender防病毒的排除项。

由于Microsoft Defender防病毒软件内置于Windows Server 2016 及更高版本中,因此会自动排除操作系统文件和服务器角色。但是,您可以定义自定义排除项。如有必要,您还可以选择退出自动排除。

0x03 默认排除项

Web 服务器排除项本节列出了安装 Web 服务器角色自动提供的文件夹排除项进程排除项

文件夹排除
  • %SystemRoot%IIS Temporary Compressed Files
  • %SystemDrive%inetpubtempIIS Temporary Compressed Files
  • %SystemDrive%inetpubtempASP Compiled Templates
  • %systemDrive%inetpublogs
  • %systemDrive%inetpubwwwroot
进程排除
  • %SystemRoot%system32inetsrvw3wp.exe
  • %SystemRoot%SysWOW64inetsrvw3wp.exe
  • %SystemDrive%PHP5433php-cgi.exe

在检测过程中会忽略这些排除项,于是我们就能开始Bypass_AV了。这些文件路径在不冲突的情况下,都能够Bypass Windows Defender!

%SystemDrive%PHP5433php-cgi.exe为例子,我们来进行Bypass
以Windows Server 2016为环境

环境下载链接:https://msdn.itellyou.cn/

C:目录下创建PHP5433,使用CS生成.exe文件放置在该目录下运行,看看WIndows Defender是什么反应。

Bypass_AV - Windows Defender
Bypass_AV - Windows Defender

成功运行,并且使用Windows Defender扫描不出来。但是在Shell下能否运行需要师傅们自行去测试!

相关推荐: WordPress远程命令执行(无需认证,不用插件)

https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html- 发现者:Dawid Golunski-  dawid [at] legalhack…