常见反病毒进程/服务/识别总结
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。所有话题标签:#Web安全 #漏洞复现 #工具使用 #权限提升#权限维持 #防护绕过 #内网安全 #实战案例#其他笔记 #资源分享 #MSF |
|---|
- 绕过防护:停止AntiVirusKit Client服务,禁用AVKWCtl服务,结束AVKWCtl.exe进程。
服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)、AVKProxy(G Data杀毒代理)、GDBackupSvc(G Data备份服务) 进程名:GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe (12) PC-cillin趋势反病毒、趋势科技防毒墙网络版客户端
- 绕过防护:趋势科技防毒墙网络版客户端可直接用taskkill /f /im ntrtscan.exe命令结束进程来停止实时防护功能,1分钟左右后自动启动并恢复该进程。
进程名:ntrtscan.exe、TMBMSRV.exe (13) McAfee AVERT Stinger、McAfee VirusScan Enterprise(麦咖啡)
- 关闭防护:打开VirusScan控制台,关闭“按访问扫描程序”。
服务名:McTaskManager、McShield、mfevtp、McAfeeEngineService、McAfeeFramework 进程名:Tbmon.exe、shstat.exe、McTray.exe、mfeann.exe、mfevtps.exe、UdaterUI.exe、naPrdMgr.exe、VsTskMgr.exe、McShield.exe、EngineServer.exe、FrameworkService.exe (14) Symantec endpoint protection(赛门铁克)
- 绕过防护:可用shellter第三方工具免杀MSF Payload即可成功绕过,在实战中有过成功案例。
服务名:ccEvtMgr、ccSetMgr 进程名:ccEvtMgr.exe、ccSetMgr.exe、ccsvchst.exe、rtvscan.exe、smc.exe、smcGui.exe、snac.exe (15) Kaspersky卡巴斯基企业版/服务器版
- Kaspersky Endpoint Security、Kaspersky Anti-Virus 8.0企业版
- 关闭防护:右键托盘图标,恢复保护和控制。
- 绕过防护:Admins/System权限下可以Kill掉kavtray.exe、kavfswp.exe进程(执行3-4次),成功后会自动运行进程,但中间会间隔几秒后保护功能才生效,快速将MSF Payload传上去并执行。klnagent.exe,kavfs.exe进程在System、Administrators权限下都Kill不掉 ,显示Kill掉成功后又会自动运行进程,朋友说一般杀毒软件都有自保护功能。
服务名:AVP(保护计算机远离病毒、木马、蠕虫、间谍软件和计算机犯罪。) 进程名:avp.exe、kavfs.exe(Kaspersky Anti-Virus Service)、klnagent.exe(Kaspersky Administraton Kit Network Agent)、kavtray.exe(Kaspersky Anti-Virus tray app“主进程”)、kavfswp.exe(Kaspersky Anti-Virus worker process) (16) Windows Defender(微软)
- Microsoft Security Essentials(Win7/2k3)
- System Center Endpoint Protection(2k8/12)
- Windows Defender Antivirus(Win8/10/2k16)
- 关闭防护:settings -> Read-time Protection->Enable real-time protection(勾去掉!)。
服务名:WinDefend、MsMpSvc(帮助用户防止恶意软件及其他潜在的垃圾软件。) 进程名:MsMpEng.exe、NisSrv.exe、MsSense.exe、msseces.exe、MpCmdRun.exe、MSASCui.exe、MSASCuiL.exe、SecurityHealthService.exe 0x03 反病毒识别的相关项目 (1) get_AV get_AV项目是@Se7en大佬用PHP写的一个Windows杀软在线对比辅助程序,并且自带了一些杀软进程数据,可以将我们自己搜集整理的杀软进程列表整合起来一起使用。 (2) SharpAVKB SharpAVKB项目是@Uknow大佬用C#写的一款KB补丁编号和杀软进程对比工具,这里我将以前自己搜集的这些WAF和反病毒软件的进程添加至SharpAVKB中,然后重新编译一下即可,可以直接用CobaltStrike的execute-assembly命令将该工具直接加载到内存中执行。 (3) ProcessTree ProcessTree.cna是CobaltStrike中的一款用于ps命令显示进程数并上色的插件,常见管理员工具进程为青色,浏览器进程为绿色,安全防护软件进程为红色,可在插件代码中自行添加相关进程。 (4) 项目地址
- https://github.com/gh0stkey/avList
- https://github.com/r00tSe7en/get_AV
- https://github.com/uknowsec/SharpAVKB
- https://github.com/3had0w/Antivirus-detection
- https://github.com/ars3n11/Aggressor-Scripts
腾讯云开发者
