|
全部話題標籤:css |
0x01 前言shell
0x02 常見反病毒進程和服務瀏覽器
(1) 金山毒霸
進程名:kxescore.exe、kupdata.exe、kxetray.exe、kwsprotect64.exe
(2) 360殺毒/衛士
服務名:ZhuDongFangYu(360主動防護的服務)、360 Skylar Service360殺毒進程名:360sd.exe、360tray.exe、360rp.exe、LiveUpdate360.exe、zhudongfangyu.exe360衛士進程名:360Safe.exe、360Tray.exe、LiveUpdate360.exe、ZhuDongFangYu.exe360天擎終端安全管理系統進程名:360skylarsvc.exe
(3) 騰訊電腦管家
服務名:QQPCRTP進程名:QQPCRTP.exe、QQPCTray.exe、QQPCNetFlow.exe、QQPCRealTimeSpeedup.exe
(4) 火絨安全軟件
服務名:HipsDaemon進程名:HipsDaemon.exe、HipsTray.exe、HipsLog.exe、HipsMain.exe、usysdiag.exe、wsctrl.exe
(5) AVG
進程名:avg.exe、avgwdsvc.exe
(6) Avast
進程名:AvastUI.exe、ashDisp.exe
(7) ESET NOD32 Antivirus
服務名:ekrn進程名:egui.exe、eguiProxy.exe、ekrn.exe、EShaSrv.exe
(8) ClemWin Free Antivirus
進程名:ClamTray.exe、clamscan.exe
(9) Sophos Anti-Virus、Sophos Endpoint Security and Control
服務名:Sophos Web Control、SAVService、SAVAdminService、swi_service、swi_filter進程名:SavMain.exe、SavProgress.exe
(10) Malwarebytes Anti-Malware、Malwarebytes Premium Trial
服務名:MBAMService進程名:MBAMService.exe、mbam.exe、mbamtray.exe
(11) GData(德國一款安全防禦軟件)
繞過防禦:中止AntiVirusKit Client服務,禁用AVKWCtl服務,結束AVKWCtl.exe進程。安全
服務名:GDScan(G Data掃描器)、AVKWCtl(G Data文件系統實時監控)、AntiVirusKit Client(G Data安全軟件客戶端)、AVKProxy(G Data殺毒代理)、GDBackupSvc(G Data備份服務)進程名:GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe
(12) PC-cillin趨勢反病毒、趨勢科技防毒牆網絡版客戶端
繞過防禦:趨勢科技防毒牆網絡版客戶端可直接用taskkill /f /im ntrtscan.exe命令結束進程來中止實時防禦功能,1分鐘左右後自動啓動並恢復該進程。服務器
進程名:ntrtscan.exe、TMBMSRV.exe
(13) McAfee AVERT Stinger、McAfee VirusScan Enterprise(麥咖啡)
關閉防禦:打開VirusScan控制檯,關閉「按訪問掃描程序」。微信
服務名:McTaskManager、McShield、mfevtp、McAfeeEngineService、McAfeeFramework進程名:Tbmon.exe、shstat.exe、McTray.exe、mfeann.exe、mfevtps.exe、UdaterUI.exe、naPrdMgr.exe、VsTskMgr.exe、McShield.exe、EngineServer.exe、FrameworkService.exe
(14) Symantec endpoint protection(賽門鐵克)
繞過防禦:可用shellter第三方工具免殺MSF Payload便可成功繞過,在實戰中有過成功案例。網絡
服務名:ccEvtMgr、ccSetMgr進程名:ccEvtMgr.exe、ccSetMgr.exe、ccsvchst.exe、rtvscan.exe、smc.exe、smcGui.exe、snac.exe
(15) Kaspersky卡巴斯基企業版/服務器版
Kaspersky Endpoint Security、Kaspersky Anti-Virus 8.0企業版
關閉防禦:右鍵托盤圖標,恢復保護和控制。
繞過防禦:Admins/System權限下能夠Kill掉kavtray.exe、kavfswp.exe進程(執行3-4次),成功後會自動運行進程,但中間會間隔幾秒後保護功能才生效,快速將MSF Payload傳上去並執行。klnagent.exe,kavfs.exe進程在System、Administrators權限下都Kill不掉 ,顯示Kill掉成功後又會自動運行進程,朋友說通常殺毒軟件都有自保護功能。
服務名:AVP(保護計算機遠離病毒、木馬、蠕蟲、間諜軟件和計算機犯罪。)進程名:avp.exe、kavfs.exe(Kaspersky Anti-Virus Service)、klnagent.exe(Kaspersky Administraton Kit Network Agent)、kavtray.exe(Kaspersky Anti-Virus tray app「主進程」)、kavfswp.exe(Kaspersky Anti-Virus worker process)
(16) Windows Defender(微軟)
Microsoft Security Essentials(Win7/2k3)
System Center Endpoint Protection(2k8/12)
Windows Defender Antivirus(Win8/10/2k16)
關閉防禦:settings -> Read-time Protection->Enable real-time protection(勾去掉!)。
服務名:WinDefend、MsMpSvc(幫助用戶防止惡意軟件及其餘潛在的垃圾軟件。)進程名:MsMpEng.exe、NisSrv.exe、MsSense.exe、msseces.exe、MpCmdRun.exe、MSASCui.exe、MSASCuiL.exe、SecurityHealthService.exe
0x03 反病毒識別的相關項目
(1) get_AV
(2) SharpAVKB
SharpAVKB項目是@Uknow大佬用C#寫的一款KB補丁編號和殺軟進程對比工具,這裏我將之前本身蒐集的這些WAF和反病毒軟件的進程添加至SharpAVKB中,而後從新編譯一下便可,能夠直接用CobaltStrike的execute-assembly命令將該工具直接加載到內存中執行。
(3) ProcessTree
ProcessTree.cna是CobaltStrike中的一款用於ps命令顯示進程數並上色的插件,常見管理員工具進程爲青色,瀏覽器進程爲綠色,安全防禦軟件進程爲紅色,可在插件代碼中自行添加相關進程。
(4) 項目地址
https://github.com/gh0stkey/avList
https://github.com/r00tSe7en/get_AV
https://github.com/uknowsec/SharpAVKB
https://github.com/3had0w/Antivirus-detection
https://github.com/ars3n11/Aggressor-Scripts
本文分享自微信公衆號 - 貝塔安全實驗室(BetaSecLab)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。