AV\EDR Disable AV method

[SlowMan]

Есть 2 корпы.
На одной Symantec под пассом
На второй Trellix под пассом
Как обойти эти аверы?:

 

[Sec13B]

maybe will help to kill the process .

also i search for disable av methods

 

[Kecog]

тут на форуме где то видел как выключить авик через registry editor если есть локал админ, поищи)

 

[Бафомет]

Find a vulnerable driver.

Look for ZwTerminateProcess, find the IOCTL.

Build a loader and launch it with Admin privileges.

Kill any protected process by doing that.

I have shared resources about that. /threads/119107/

 

[oxygen]

Есть 2 корпы.
На одной Symantec под пассом
На второй Trellix под пассом
Как обойти эти аверы?:

VNC + безопасный режим с поддержкой сети + ребут = профит.