AV\EDR Особенности av Sophos/Sentinel

[JabbaWoz]

Сейф мод на сентинел не работае в 90% случаях, а вот на софос наоборот, работает в 90% случаях, там можно и застопить и удалить, но это все грубый поступок
В основном при скане есть порты на которых стоят панели, если разговор об обнаружении в локалке, а 2факторки далеко не везде ставят и даже если стоят то куки могут позволить это обойти
Но опять же, все упрется в то как настроили авшки, если грамотно настроили, то хоть колдуй хоть молитвы приноси ничего не сможешь сделать бесплатными сервисами

 

[varwar]

Вот приведенный чутка в порядок листинг:

Ну что ж ты структуры не указал, если узнал. Они в базе есть.

__int64 SepInitializeCodeIntegrity()
{
    unsigned int CodeIntegrityOptions; // edi
    _LIST_ENTRY *p_BootDriverListHead; // rbx
    _LOADER_PARAMETER_EXTENSION *Extension; // rcx
    _LOADER_PARAMETER_CI_EXTENSION *CodeIntegrityData; // rdx
    char *LoadOptions; // rcx

    CodeIntegrityOptions = 6;
    memset(&unk_140C1D9E4, 0, 0xC4ui64);        // unk_140C1D9E4 = nt!SeCiCallbacks+0x4
    p_BootDriverListHead = 0i64;
    SeCiCallbacks = 0xD0;
    qword_140C1DAA8 = 0xA000008i64;             // qword_140C1DAA8 = nt!SeCiCallbacks+0xc8 = 0xA000008
    if ( KeLoaderBlock )
    {
        Extension = KeLoaderBlock->Extension;
        if ( Extension )
        {
            CodeIntegrityData = Extension->CodeIntegrityData;
            if ( CodeIntegrityData )
            {
                CodeIntegrityOptions = CodeIntegrityData->CodeIntegrityOptions;// CodeIntegrityOptions = 6
            }
        }
        LoadOptions = KeLoaderBlock->LoadOptions;// BOOTDEBUG  NOEXECUTE=OPTIN  DEBUG
                                                // BUSPARAMS=3.0.0  ENCRYPTION_KEY=*****************************************************
                                                // DEBUGPORT=NET
                                                // HOST_IP=192.168.0.102
                                                // HOST_PORT=50003
        if ( LoadOptions && (unsigned int)SepIsOptionPresent(LoadOptions) )// SepIsOptionPresent(LoadOptions) returns 0
                                                // So this if statement not satisfied
        {
            SeCiDebugOptions |= 1u;             // *SeCiDebugOptions = 0
        }
        if ( KeLoaderBlock )
        {
            p_BootDriverListHead = &KeLoaderBlock->BootDriverListHead;
        }
    }
    return CiInitialize(CodeIntegrityOptions, p_BootDriverListHead, &SeCiCallbacks, SeCiPrivateApis);// CiInitialize return 0

Вообще я не трогал DSE, поэтому не знаю ничего о нем, но полазив полчаса в отладчике понял, что это как минимум любопытно. По-моему где-то видел проекты с обходом DSE для Win 10 < 1909, как раз с патчем каких-то значений из CI.

Хм.

3: kd> dt nt!_LOADER_PARAMETER_CI_EXTENSION 0xfffff806`7efaf000
   +0x000 CodeIntegrityOptions : 6
   +0x004 UpgradeInProgress : 0y0
   +0x004 IsWinPE          : 0y0
   +0x004 CustomKernelSignersAllowed : 0y0
   +0x004 StateSeparationEnabled : 0y0
   +0x004 Reserved         : 0y0000000000000000000000000000 (0)
   +0x008 WhqlEnforcementDate : _LARGE_INTEGER 0x01d0c991`830f4000
   +0x010 RevocationListOffset : 0
   +0x014 RevocationListSize : 0x12df
   +0x018 CodeIntegrityPolicyOffset : 0x12e0
   +0x01c CodeIntegrityPolicySize : 0
   +0x020 CodeIntegrityPolicyHashOffset : 0x12f8
   +0x024 CodeIntegrityPolicyHashSize : 0
   +0x028 CodeIntegrityPolicyOriginalHashOffset : 0x12f8
   +0x02c CodeIntegrityPolicyOriginalHashSize : 0
   +0x030 WeakCryptoPolicyLoadStatus : 0n0
   +0x034 WeakCryptoPolicyOffset : 0x12e0
   +0x038 WeakCryptoPolicySize : 0
   +0x03c SecureBootPolicyOffset : 0x12e0
   +0x040 SecureBootPolicySize : 0x18
   +0x044 Reserved2        : 0
   +0x048 SerializedData   : [1]  "0"

 

[varwar]

Я слишком туп, чтоб их указывать, слишком умен, чтоб найти самому

Я же буду пинать до тех пор пока не будешь указывать. Жизнь станет в разы проще.

 

[dotrbdhd]

Ну можно криптовать гмер и им кикать его все процессы и службы автоматом стопнутся его

поделишься контактом криптера ?) у кого криптовал толку нет. палится все равно.

 

[Bosh]

поделишься контактом криптера

не поделится - потому что таких не бывает.
что б вычистить гмер его надо перписать и купить серт для драйвера после.

 

[mfive]

Но на это все нужны админ права. Так же (возможно, не уверен полностью) нужна будет локальная учетка на пк.

В сейфе АД доступна, локалкьный юзер не обязателен.

 

[kamzzzzz]

Под trend micro и apex one есть деинсталятор в сети, по гугли - может сработать если он плохо сконфигурирован.

msiexec /x {бла-бла-бла} /qn