常见反病毒进程/服务/识别总结
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 所有话题标签: #Web安全 #漏洞复现 #工具使用 #权限提升 #权限维持 #防护绕过 #内网安全 #实战案例 #其他笔记 #资源分享 #MSF |
0x01 前言
上篇文章中给大家分享了一些我自己整理的常见WAF进程、服务以及用于识别WAF的相关项目,在这篇我将继续给大家分享一些常见反病毒的进程、服务以及识别反病毒的相关项目,至于文章中提到的一些绕过方法可能已经失效,不过还是可以作为参考的,都是以前实战项目中的笔记!
0x02 常见反病毒进程和服务
(1) 金山毒霸
进程名:kxescore.exe、kupdata.exe、kxetray.exe、kwsprotect64.exe
(2) 360杀毒/卫士
服务名:ZhuDongFangYu(360主动防御的服务)、360 Skylar Service
360杀毒进程名:360sd.exe、360tray.exe、360rp.exe、LiveUpdate360.exe、zhudongfangyu.exe
360卫士进程名:360Safe.exe、360Tray.exe、LiveUpdate360.exe、ZhuDongFangYu.exe
360天擎终端安全管理系统进程名:360skylarsvc.exe
(3) 腾讯电脑管家
服务名:QQPCRTP
进程名:QQPCRTP.exe、QQPCTray.exe、QQPCNetFlow.exe、QQPCRealTimeSpeedup.exe
(4) 火绒安全软件
服务名:HipsDaemon
进程名:HipsDaemon.exe、HipsTray.exe、HipsLog.exe、HipsMain.exe、usysdiag.exe、wsctrl.exe
(5) AVG
进程名:avg.exe、avgwdsvc.exe
(6) Avast
进程名:AvastUI.exe、ashDisp.exe
(7) ESET NOD32 Antivirus
服务名:ekrn
进程名:egui.exe、eguiProxy.exe、ekrn.exe、EShaSrv.exe
(8) ClemWin Free Antivirus
进程名:ClamTray.exe、clamscan.exe
(9) Sophos Anti-Virus、Sophos Endpoint Security and Control
服务名:Sophos Web Control、SAVService、SAVAdminService、swi_service、swi_filter
进程名:SavMain.exe、SavProgress.exe
(10) Malwarebytes Anti-Malware、Malwarebytes Premium Trial
服务名:MBAMService
进程名:MBAMService.exe、mbam.exe、mbamtray.exe
(11) GData(德国一款安全防护软件)
绕过防护:停止AntiVirusKit Client服务,禁用AVKWCtl服务,结束AVKWCtl.exe进程。
服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)、AVKProxy(G Data杀毒代理)、GDBackupSvc(G Data备份服务)
进程名:GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe
(12) PC-cillin趋势反病毒、趋势科技防毒墙网络版客户端
绕过防护:趋势科技防毒墙网络版客户端可直接用taskkill /f /im ntrtscan.exe命令结束进程来停止实时防护功能,1分钟左右后自动启动并恢复该进程。
进程名:ntrtscan.exe、TMBMSRV.exe
(13) McAfee AVERT Stinger、McAfee VirusScan Enterprise(麦咖啡)
关闭防护:打开VirusScan控制台,关闭“按访问扫描程序”。
服务名:McTaskManager、McShield、mfevtp、McAfeeEngineService、McAfeeFramework
进程名:Tbmon.exe、shstat.exe、McTray.exe、mfeann.exe、mfevtps.exe、UdaterUI.exe、naPrdMgr.exe、VsTskMgr.exe、McShield.exe、EngineServer.exe、FrameworkService.exe
(14) Symantec endpoint protection(赛门铁克)
绕过防护:可用shellter第三方工具免杀MSF Payload即可成功绕过,在实战中有过成功案例。
服务名:ccEvtMgr、ccSetMgr
进程名:ccEvtMgr.exe、ccSetMgr.exe、ccsvchst.exe、rtvscan.exe、smc.exe、smcGui.exe、snac.exe
(15) Kaspersky卡巴斯基企业版/服务器版
Kaspersky Endpoint Security、Kaspersky Anti-Virus 8.0企业版
关闭防护:右键托盘图标,恢复保护和控制。
绕过防护:Admins/System权限下可以Kill掉kavtray.exe、kavfswp.exe进程(执行3-4次),成功后会自动运行进程,但中间会间隔几秒后保护功能才生效,快速将MSF Payload传上去并执行。klnagent.exe,kavfs.exe进程在System、Administrators权限下都Kill不掉 ,显示Kill掉成功后又会自动运行进程,朋友说一般杀毒软件都有自保护功能。
服务名:AVP(保护计算机远离病毒、木马、蠕虫、间谍软件和计算机犯罪。)
进程名:avp.exe、kavfs.exe(Kaspersky Anti-Virus Service)、klnagent.exe(Kaspersky Administraton Kit Network Agent)、kavtray.exe(Kaspersky Anti-Virus tray app“主进程”)、kavfswp.exe(Kaspersky Anti-Virus worker process)
(16) Windows Defender(微软)
Microsoft Security Essentials(Win7/2k3)
System Center Endpoint Protection(2k8/12)
Windows Defender Antivirus(Win8/10/2k16)
关闭防护:settings -> Read-time Protection->Enable real-time protection(勾去掉!)。
服务名:WinDefend、MsMpSvc(帮助用户防止恶意软件及其他潜在的垃圾软件。)
进程名:MsMpEng.exe、NisSrv.exe、MsSense.exe、msseces.exe、MpCmdRun.exe、MSASCui.exe、MSASCuiL.exe、SecurityHealthService.exe
0x03 反病毒识别的相关项目
(1) get_AV
get_AV项目是@Se7en大佬用PHP写的一个Windows杀软在线对比辅助程序,并且自带了一些杀软进程数据,可以将我们自己搜集整理的杀软进程列表整合起来一起使用。
(2) SharpAVKB
SharpAVKB项目是@Uknow大佬用C#写的一款KB补丁编号和杀软进程对比工具,这里我将以前自己搜集的这些WAF和反病毒软件的进程添加至SharpAVKB中,然后重新编译一下即可,可以直接用CobaltStrike的execute-assembly命令将该工具直接加载到内存中执行。
(3) ProcessTree
ProcessTree.cna是CobaltStrike中的一款用于ps命令显示进程数并上色的插件,常见管理员工具进程为青色,浏览器进程为绿色,安全防护软件进程为红色,可在插件代码中自行添加相关进程。
(4) 项目地址
https://github.com/gh0stkey/avList
https://github.com/r00tSe7en/get_AV
https://github.com/uknowsec/SharpAVKB
https://github.com/3had0w/Antivirus-detection
https://github.com/ars3n11/Aggressor-Scripts
常见反病毒进程/服务/识别总结相关推荐
- Linux系统进程类型有哪些?进程状态有哪几种?常见的进程有哪些?
一.linux系统进程类型有 :交互进程 :批处理进程 :监控进程(守护进程): 交互进程:由一个shell启动的进程.交互进程既可以在前台运行,也可以在后台运行. 批处理进程:这种进程和终端没有联系 ...
- 常见的安全应用识别技术有哪些?
在网络空间,安全方面的应用的涵盖多之又多,由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分.下面我们一起了解一下在Internet/Intranet中主要的应用平台服务的安全问 ...
- 操作系统中常见的进程调度算法
一.调度与调度算法 调度:操作系统管理了系统的有限资源,当有多个进程(或多个进程发出的请求)要使用这些资源时,因为资源的有限性,必须按照一定的原则选择进程(请求)来占用资源.这就是调度.目的是控制资源 ...
- 【从零开始写漏扫】服务识别—自己动手写一个指纹识别器—网络特征指纹
前言 上篇文章中,我们讨论了端口扫描器的实现,编码实现了一个简单的多线程端口扫描器,从子域名挖掘到端口扫描,主机发现部分暂时结束了,今后遇到更好用的主机发现技术再作补充,接下来开始服务的识别工作. 通 ...
- 常见SMT极性元器件识别方法(图解)
简 介: 这是整理自公号"电子工程师笔记"上的一篇推文 常见SMT极性元器件识别方法(图解) . 关键词: 元器件,封装极性 极性元件在整个PCBA加工过程中需要特别注意,因为 ...
- Windows系统中常见的进程DOS操作命令
Windows系统中常见的进程DOS操作命令 1. 查看指定端口的占用情况 语法: netstat -aon | findstr 端口号 例如:查看目前已经启动的nginx进程号 netstat -a ...
- SpringCloud微服务架构学习(二)常见的微服务架构
SpringCloud微服务架构学习(二)常见的微服务架构 1.Dubbo 阿里开源微服务框架 官网地址:http://dubbo.apache.org/en-us/ 简介: Dubbo是阿里巴巴SO ...
- 常见端口对应服务及入侵方式
常见端口对应服务及入侵方式 一.端口服务及利用简析 1.1 文件共享服务端口 1.2 远程连接服务端口 1.3 Web应用服务端口 1.4 数据库端口服务 1.5 邮件服务端口 1.6 网络常见协议端 ...
- 计算机网络故障的一般识别与解决方法 论文,计算机网络常见故障的一般识别与解决方法-职业学院毕业论文.doc...
计算机网络常见故障的一般识别与解决方法-职业学院毕业论文.doc 0评定成绩计算机网络常见故障的一般识别与解决方法系别信息技术系专业计算机网络术班级网高132班学号A1303440201学号A1303 ...
最新文章
- matlab显示的图片,手动保存时四周有白边
- FOJ 2105 Digits Count
- json / 简介及结构
- css3加载图片淡入效果
- 汉诺塔c语言源程序步骤,汉诺塔问题的算法分析及C语言演示程序的实现
- 薪资被倒挂?是怒刷 LeetCode,还是另寻他路?
- DirectShow播放视频流程
- linux下调用扫描仪sane协议
- Java毕业设计-个性影片/电影推荐系统
- ​​Wipe Pro(电脑隐私清理软件)官方正式版V2218 | 怎么清除电脑个人隐私?
- TApplicaiton.ProcessMessages不能在非主线程使用
- 网易16年春季实习生招聘的一道算法题
- 中国省市地图json数据包及解析
- 网易2018校招内推笔试-彩色砖块
- 结构化思维模型的构建(多种思维参考)
- 操作系统——文件分配和空间管理
- c语言txt文件写入数学,文本文件输入文件.txt中存有一个学生的学号,性别,年龄,数学,语文,英语三门课的成绩....
- c 语言密钥存储,在C中读取和写入rsa密钥到pem文件
- 清理蓝藻的机器人_水上清污机器人:自动巡航,漂浮物打捞率达99%以上丨寻访黑科技...
- 爆款打造,怎样打造爆款,爆款失败的原因分析
热门文章
- strok的实现,分割字符串
- linux 下 privoxy 设置代理
- 三只松鼠、来伊份、良品铺子半年报PK,谁是零食第一股?
- C++ 创建各类三角形图案
- 整合优势资源+智慧科技管理 众美集团创新终端物业服务
- elasticsearch批量插入数据的时候出现java.net.SocketTimeoutException: 30,000 milliseconds timeout on connection
- 如何自动把excel里的数据复制黏贴到对应的位置?
- Windows2014使用NBU备份实现Oracle11g本地恢复和异地恢复
- 综武大唐:从剑圣收徒开始(二)
- JAVA花布的特点_什么是蓝印花布 蓝印花布特点