Ха. Пока только level0 или L3, смотря что и с какой стороны считать, а дальше переход на следующий уровень =) У нас же демократия и глас народа в этом вопросе =)
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Отключаем Windows Defender (+ UAC Bypass, + Повышение до уровня SYSTEM)
- Автор темы ioioio777
- Дата начала
Игру нельзя забрасывать, пока все ачивки не собрал.
- Автор темы
- Добавить закладку
- #83
Главное не забывать что весь конкурс это лохотрон для кражи приватных схем
Чувак, пиши больше
ioioio777 репу раздаёшь?) хочу)) И по теме вопрос... Известно кому о функционирующих решениях, юзающих такие наработки? В паблик после твоей публикации ничего не утекало?
Хорошая статья!
Но два момента:
1)Это не уязвимость и я-бы не сказал что это недороработка антивируса, т.к. удалось поднять привелегии до уровня SYSTEM, а-тут уже много чего можно сделать...
Да можно-было сделать самозащиту, такую например как в каспере мониторинг реестра, своих файлов, защита от удаления, например если попытаться удалить каспера через спец. тулзу, то нужно вводить капчу, а-то даже и пароль, если установлен...
2)Но, теперь давайте поговорим как это всё использовать в боевых условиях ?
На машине с включенной защитой (UAC, учетка пользователя, если корпоративный комп), это практически невозможно, либо нужно поднимать как-то права.
Так-что в случае с дефендором, майкрософт полагается на свои системы защиты, которые не должны быть отключены, поэтому так.)
Единственное, если вынудить пользователя запустить приложения с правами админа, ещё может-быть успех.
Но в случае попытке распространять такое, скорей-всего очень быстро всё это будет заблокировано в облаке, вообще надо потестить, даст-ли дефендер это запустить в случае включенной защиты в облаке.
Там разные детекты, локальный запуск и облако.)
Но в целом статья норм, мне понравилось, спасибо!
Но два момента:
1)Это не уязвимость и я-бы не сказал что это недороработка антивируса, т.к. удалось поднять привелегии до уровня SYSTEM, а-тут уже много чего можно сделать...
Да можно-было сделать самозащиту, такую например как в каспере мониторинг реестра, своих файлов, защита от удаления, например если попытаться удалить каспера через спец. тулзу, то нужно вводить капчу, а-то даже и пароль, если установлен...
2)Но, теперь давайте поговорим как это всё использовать в боевых условиях ?
На машине с включенной защитой (UAC, учетка пользователя, если корпоративный комп), это практически невозможно, либо нужно поднимать как-то права.
Так-что в случае с дефендором, майкрософт полагается на свои системы защиты, которые не должны быть отключены, поэтому так.)
Единственное, если вынудить пользователя запустить приложения с правами админа, ещё может-быть успех.
Но в случае попытке распространять такое, скорей-всего очень быстро всё это будет заблокировано в облаке, вообще надо потестить, даст-ли дефендер это запустить в случае включенной защиты в облаке.
Там разные детекты, локальный запуск и облако.)
Но в целом статья норм, мне понравилось, спасибо!
just want to ask , what if we have EDR in place , how would this work , excuse for dumb question ?
Через драйвер. Да здравствует Ring0!
интересная статья, планирую повторить 
отдельное спасибо за наглядные примеры в виде схем, а то я немного ступид
отдельное спасибо за наглядные примеры в виде схем, а то я немного ступид Question, is there anyway to make the process run under the Windows Processes category in task manager?
Блин это одно из самых Пиз**датых тем что я читал! Буду немедленно тестить! Для себя перечитать статью что бы полностью вникнуть
Братец скажи пожалуйста, я открыл проект запустил, начался АВ что-то возмущается но в логах нету нечего (винда кстати офишал стоит), консоль работает, начинаю разархивировать Сайленс и начинает ругаться АВ я так понял что уже спален код в базу или как можно что-то предпринять, заранее благодарю!
Надо морфить код, чтобы в статике не палилось
Есть у кого то на руках статься как вырвусь без палева уведомления об изменении параметра компа (#uac_suka )
Как эту зерню вобще выпилить с системы? неубиваемая ненужная бесполезная хрень.
gpedit.msc
Тема по-моему сдохла благополучно. Тестил на последней десятке, так и не удалось дефендер потушить.
Пробовал также вот эти смежные темы:
Gmer, который тут советовали тоже палится и даже если выключить дефендер не могу его гмером выпилить(
Может есть у кого, какие идеи на этот счёт?
Пробовал также вот эти смежные темы:
GitHub - Octoberfest7/KDStab: BOF combination of KillDefender and Backstab
BOF combination of KillDefender and Backstab. Contribute to Octoberfest7/KDStab development by creating an account on GitHub.
github.com
GitHub - Octoberfest7/KillDefender_BOF: Beacon Object File implementation of pwn1sher's KillDefender
Beacon Object File implementation of pwn1sher's KillDefender - Octoberfest7/KillDefender_BOF
github.com
Может есть у кого, какие идеи на этот счёт?
Последнее редактирование:
не. по всякому пробовал. теперь он только шлет уведомления, но окон дефиндера и в настройки не зайти) паламался, но работает.
А че за винда? У меня вроде бы везде работает. Оключаю сам дефендер и защиту в реальном времени.
а в чем тогда прикол? если выключил дефендер, нах еще его выпиливать то?))))