Windows defender bypass ｜ 免杀

官方文档

在制作免杀的过程中，翻找 Windows 官方对 Windows Defender 的介绍，发现有这样一个目录：Configure Microsoft Defender Antivirus exclusions on Windows Server（在 Windows server 中配置defender排除项）。

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide#list-of-automatic-exclusions

简而言之就是在 Windows Server2016 和 2019 中，Windows Defender 默认存在一些排除项，在实时检测过程中会忽略这些排除项，但是主动扫描的时候不会排除。这就给 Bypass Windows Defender 提供了一个新思路。

通篇寻找可用的路径，最终发现几个 exe 路径：

在文件路径不冲突的情况下，将这10个路径的木马应当都具有 bypass Windows Defender 的效果。

实例

以最后一个 php-cgi.exe 为例，默认在 Windows Server 2019 中是没有此路径的，所以在实际使用过程中需新建此目录。

首先使用 msf 生成一个默认的 exe 木马，并下载到目标服务器中执行，发现 Windows Defender 发出警告：

获得的 session 也是昙花一现：

新建 php5433 目录，并将木马更名为 php-cgi.exe，执行：

木马正常上线：

---