声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 所有话题标签: #Web安全 #漏洞复现 #工具使用 #权限提升 #权限维持 #防护绕过 #内网安全 #实战案例 #其他笔记 #资源分享 #MSF |
0x01 前言
上篇文章中给大家分享了一些我自己整理的常见WAF进程、服务以及用于识别WAF的相关项目,在这篇我将继续给大家分享一些常见反病毒的进程、服务以及识别反病毒的相关项目,至于文章中提到的一些绕过方法可能已经失效,不过还是可以作为参考的,都是以前实战项目中的笔记!
0x02 常见反病毒进程和服务
(1) 金山毒霸
进程名:kxescore.exe、kupdata.exe、kxetray.exe、kwsprotect64.exe(2) 360杀毒/卫士
服务名:ZhuDongFangYu(360主动防御的服务)、360 Skylar Service
360杀毒进程名:360sd.exe、360tray.exe、360rp.exe、LiveUpdate360.exe、zhudongfangyu.exe
360卫士进程名:360Safe.exe、360Tray.exe、LiveUpdate360.exe、ZhuDongFangYu.exe
360天擎终端安全管理系统进程名:360skylarsvc.exe(3) 腾讯电脑管家
服务名:QQPCRTP
进程名:QQPCRTP.exe、QQPCTray.exe、QQPCNetFlow.exe、QQPCRealTimeSpeedup.exe(4) 火绒安全软件
服务名:HipsDaemon
进程名:HipsDaemon.exe、HipsTray.exe、HipsLog.exe、HipsMain.exe、usysdiag.exe、wsctrl.exe(5) AVG
进程名:avg.exe、avgwdsvc.exe(6) Avast
进程名:AvastUI.exe、ashDisp.exe(7) ESET NOD32 Antivirus
服务名:ekrn
进程名:egui.exe、eguiProxy.exe、ekrn.exe、EShaSrv.exe(8) ClemWin Free Antivirus
进程名:ClamTray.exe、clamscan.exe(9) Sophos Anti-Virus、Sophos Endpoint Security and Control
服务名:Sophos Web Control、SAVService、SAVAdminService、swi_service、swi_filter
进程名:SavMain.exe、SavProgress.exe(10) Malwarebytes Anti-Malware、Malwarebytes Premium Trial
服务名:MBAMService
进程名:MBAMService.exe、mbam.exe、mbamtray.exe(11) GData(德国一款安全防护软件)
绕过防护:停止AntiVirusKit Client服务,禁用AVKWCtl服务,结束AVKWCtl.exe进程。
服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)、AVKProxy(G Data杀毒代理)、GDBackupSvc(G Data备份服务)
进程名:GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe(12) PC-cillin趋势反病毒、趋势科技防毒墙网络版客户端
绕过防护:趋势科技防毒墙网络版客户端可直接用taskkill /f /im ntrtscan.exe命令结束进程来停止实时防护功能,1分钟左右后自动启动并恢复该进程。
进程名:ntrtscan.exe、TMBMSRV.exe(13) McAfee AVERT Stinger、McAfee VirusScan Enterprise(麦咖啡)
关闭防护:打开VirusScan控制台,关闭“按访问扫描程序”。
服务名:McTaskManager、McShield、mfevtp、McAfeeEngineService、McAfeeFramework
进程名:Tbmon.exe、shstat.exe、McTray.exe、mfeann.exe、mfevtps.exe、UdaterUI.exe、naPrdMgr.exe、VsTskMgr.exe、McShield.exe、EngineServer.exe、FrameworkService.exe(14) Symantec endpoint protection(赛门铁克)
绕过防护:可用shellter第三方工具免杀MSF Payload即可成功绕过,在实战中有过成功案例。
服务名:ccEvtMgr、ccSetMgr
进程名:ccEvtMgr.exe、ccSetMgr.exe、ccsvchst.exe、rtvscan.exe、smc.exe、smcGui.exe、snac.exe(15) Kaspersky卡巴斯基企业版/服务器版
Kaspersky Endpoint Security、Kaspersky Anti-Virus 8.0企业版
关闭防护:右键托盘图标,恢复保护和控制。
绕过防护:Admins/System权限下可以Kill掉kavtray.exe、kavfswp.exe进程(执行3-4次),成功后会自动运行进程,但中间会间隔几秒后保护功能才生效,快速将MSF Payload传上去并执行。klnagent.exe,kavfs.exe进程在System、Administrators权限下都Kill不掉 ,显示Kill掉成功后又会自动运行进程,朋友说一般杀毒软件都有自保护功能。
服务名:AVP(保护计算机远离病毒、木马、蠕虫、间谍软件和计算机犯罪。)
进程名:avp.exe、kavfs.exe(Kaspersky Anti-Virus Service)、klnagent.exe(Kaspersky Administraton Kit Network Agent)、kavtray.exe(Kaspersky Anti-Virus tray app“主进程”)、kavfswp.exe(Kaspersky Anti-Virus worker process)(16) Windows Defender(微软)
Microsoft Security Essentials(Win7/2k3)
System Center Endpoint Protection(2k8/12)
Windows Defender Antivirus(Win8/10/2k16)
关闭防护:settings -> Read-time Protection->Enable real-time protection(勾去掉!)。
服务名:WinDefend、MsMpSvc(帮助用户防止恶意软件及其他潜在的垃圾软件。)
进程名:MsMpEng.exe、NisSrv.exe、MsSense.exe、msseces.exe、MpCmdRun.exe、MSASCui.exe、MSASCuiL.exe、SecurityHealthService.exe0x03 反病毒识别的相关项目
(1) get_AV
get_AV项目是@Se7en大佬用PHP写的一个Windows杀软在线对比辅助程序,并且自带了一些杀软进程数据,可以将我们自己搜集整理的杀软进程列表整合起来一起使用。
(2) SharpAVKB
SharpAVKB项目是@Uknow大佬用C#写的一款KB补丁编号和杀软进程对比工具,这里我将以前自己搜集的这些WAF和反病毒软件的进程添加至SharpAVKB中,然后重新编译一下即可,可以直接用CobaltStrike的execute-assembly命令将该工具直接加载到内存中执行。
(3) ProcessTree
ProcessTreea是CobaltStrike中的一款用于ps命令显示进程数并上色的插件,常见管理员工具进程为青色,浏览器进程为绿色,安全防护软件进程为红色,可在插件代码中自行添加相关进程。
(4) 项目地址
https://github/gh0stkey/avList
https://github/r00tSe7en/get_AV
https://github/uknowsec/SharpAVKB
https://github/3had0w/Antivirus-detection
https://github/ars3n11/Aggressor-Scripts
更多推荐
常见反病毒进程/服务/识别总结
发布评论