0x01 前言

上篇文章中给大家分享了一些我自己整理的常见WAF进程、服务以及用于识别WAF的相关项目，在这篇我将继续给大家分享一些常见反病毒的进程、服务以及识别反病毒的相关项目，至于文章中提到的一些绕过方法可能已经失效，不过还是可以作为参考的，都是以前实战项目中的笔记！

0x02 常见反病毒进程和服务

(1) 金山毒霸

进程名：kxescore.exe、kupdata.exe、kxetray.exe、kwsprotect64.exe

(2) 360杀毒/卫士

服务名：ZhuDongFangYu（360主动防御的服务）、360 Skylar Service
360杀毒进程名：360sd.exe、360tray.exe、360rp.exe、LiveUpdate360.exe、zhudongfangyu.exe
360卫士进程名：360Safe.exe、360Tray.exe、LiveUpdate360.exe、ZhuDongFangYu.exe
360天擎终端安全管理系统进程名：360skylarsvc.exe

(3) 腾讯电脑管家

服务名：QQPCRTP
进程名：QQPCRTP.exe、QQPCTray.exe、QQPCNetFlow.exe、QQPCRealTimeSpeedup.exe

(4) 火绒安全软件

服务名：HipsDaemon
进程名：HipsDaemon.exe、HipsTray.exe、HipsLog.exe、HipsMain.exe、usysdiag.exe、wsctrl.exe

(5) AVG

进程名：avg.exe、avgwdsvc.exe

(6) Avast

进程名：AvastUI.exe、ashDisp.exe

(7) ESET NOD32 Antivirus

服务名：ekrn
进程名：egui.exe、eguiProxy.exe、ekrn.exe、EShaSrv.exe

(8) ClemWin Free Antivirus

进程名：ClamTray.exe、clamscan.exe

(9) Sophos Anti-Virus、Sophos Endpoint Security and Control

服务名：Sophos Web Control、SAVService、SAVAdminService、swi_service、swi_filter
进程名：SavMain.exe、SavProgress.exe

(10) Malwarebytes Anti-Malware、Malwarebytes Premium Trial

服务名：MBAMService
进程名：MBAMService.exe、mbam.exe、mbamtray.exe

(11) GData（德国一款安全防护软件）

• 绕过防护：停止AntiVirusKit Client服务，禁用AVKWCtl服务，结束AVKWCtl.exe进程。

服务名：GDScan（G Data扫描器）、AVKWCtl（G Data文件系统实时监控）、AntiVirusKit Client（G Data安全软件客户端）、AVKProxy（G Data杀毒代理）、GDBackupSvc（G Data备份服务）
进程名：GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe

(12) PC-cillin趋势反病毒、趋势科技防毒墙网络版客户端

• 绕过防护：趋势科技防毒墙网络版客户端可直接用taskkill /f /im ntrtscan.exe命令结束进程来停止实时防护功能，1分钟左右后自动启动并恢复该进程。

进程名：ntrtscan.exe、TMBMSRV.exe

(13) McAfee AVERT Stinger、McAfee VirusScan Enterprise（麦咖啡）

• 关闭防护：打开VirusScan控制台，关闭“按访问扫描程序”。

服务名：McTaskManager、McShield、mfevtp、McAfeeEngineService、McAfeeFramework
进程名：Tbmon.exe、shstat.exe、McTray.exe、mfeann.exe、mfevtps.exe、UdaterUI.exe、naPrdMgr.exe、VsTskMgr.exe、McShield.exe、EngineServer.exe、FrameworkService.exe

(14) Symantec endpoint protection（赛门铁克）

• 绕过防护：可用shellter第三方工具免杀MSF Payload即可成功绕过，在实战中有过成功案例。

服务名：ccEvtMgr、ccSetMgr
进程名：ccEvtMgr.exe、ccSetMgr.exe、ccsvchst.exe、rtvscan.exe、smc.exe、smcGui.exe、snac.exe

(15) Kaspersky卡巴斯基企业版/服务器版

• Kaspersky Endpoint Security、Kaspersky Anti-Virus 8.0企业版

• 关闭防护：右键托盘图标，恢复保护和控制。

• 绕过防护：Admins/System权限下可以Kill掉kavtray.exe、kavfswp.exe进程（执行3-4次），成功后会自动运行进程，但中间会间隔几秒后保护功能才生效，快速将MSF Payload传上去并执行。klnagent.exe，kavfs.exe进程在System、Administrators权限下都Kill不掉 ，显示Kill掉成功后又会自动运行进程，朋友说一般杀毒软件都有自保护功能。

服务名：AVP（保护计算机远离病毒、木马、蠕虫、间谍软件和计算机犯罪。）
进程名：avp.exe、kavfs.exe（Kaspersky Anti-Virus Service）、klnagent.exe（Kaspersky Administraton Kit Network Agent）、kavtray.exe（Kaspersky Anti-Virus tray app“主进程”）、kavfswp.exe（Kaspersky Anti-Virus worker process）

(16) Windows Defender（微软）

• Microsoft Security Essentials（Win7/2k3）

• System Center Endpoint Protection（2k8/12）

• Windows Defender Antivirus（Win8/10/2k16）

• 关闭防护：settings -> Read-time Protection->Enable real-time protection（勾去掉！）。

服务名：WinDefend、MsMpSvc（帮助用户防止恶意软件及其他潜在的垃圾软件。）
进程名：MsMpEng.exe、NisSrv.exe、MsSense.exe、msseces.exe、MpCmdRun.exe、MSASCui.exe、MSASCuiL.exe、SecurityHealthService.exe

0x03 反病毒识别的相关项目

(1) get_AV

get_AV项目是@Se7en大佬用PHP写的一个Windows杀软在线对比辅助程序，并且自带了一些杀软进程数据，可以将我们自己搜集整理的杀软进程列表整合起来一起使用。

(2) SharpAVKB

SharpAVKB项目是@Uknow大佬用C#写的一款KB补丁编号和杀软进程对比工具，这里我将以前自己搜集的这些WAF和反病毒软件的进程添加至SharpAVKB中，然后重新编译一下即可，可以直接用CobaltStrike的execute-assembly命令将该工具直接加载到内存中执行。

(3) ProcessTree

ProcessTree.cna是CobaltStrike中的一款用于ps命令显示进程数并上色的插件，常见管理员工具进程为青色，浏览器进程为绿色，安全防护软件进程为红色，可在插件代码中自行添加相关进程。

(4) 项目地址

• https://github.com/gh0stkey/avList

• https://github.com/r00tSe7en/get_AV

• https://github.com/uknowsec/SharpAVKB

• https://github.com/3had0w/Antivirus-detection

• https://github.com/ars3n11/Aggressor-Scripts