通常在入侵过程中,禁用目标计算机的防御措施的能力会很有用。对于那些已经测试过 Microsoft 操作系统默认嵌入的安全解决方案 Windows Defender 的渗透测试人员,您会同意我的看法,它自首次发布以来已经有了很大改进,尤其是具有 Windows 云容量的最新版本10. 因此,我们很可能在入侵过程中迟早会遇到这种杀毒软件。
简而言之,Windows Defender 的主要组件是“ WinDefend ”服务,负责启动持续监控进程“ MsMpEng.exe ”并加载其引擎“ mpengine.dll ”,因此如果我们能够停止该服务,我们将在很大程度上停止执行。
停止 Windows Defender 使用 TrustedInstaller 和 Windefend 服务帐户以编程方式创建新令牌。
一键停止操作,无需提供命令行选项或 pid。用于与 Post Explotation 框架集成。
https://github.com/lab52io/StopDefender
原文始发于微信公众号(Khan安全攻防实验室):Stop Windows Defender
