原文：eceK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2L8X3g2@1M7%4m8A6i4K6u0W2j5$3!0E0i4K6u0r3x3e0m8Q4x3X3c8W2N6X3W2D9i4K6u0V1N6i4y4W2M7W2)9J5k6s2c8J5K9h3y4C8M7#2)9J5k6r3k6G2M7W2)9J5k6r3u0&6M7r3q4K6M7$3W2F1k6#2)9J5k6r3q4F1N6r3W2Q4x3X3c8$3K9i4u0#2M7#2)9J5c8R3`.`.

译者注：很多不通顺的语句改掉了，还有反病毒解决方案统一翻译为了反病毒软件。无关紧要的话直接意思翻译

许多反病毒软件的部署配置方法较弱，为最终用户提供了根据需求快速禁用或解决产品问题方法。因此，即使没有超级黑客“技能”的用户也可以运行恶意可执行文件（有意或无意），而无需以任何方式实际修改它们以避免检测。这种技术很适合于渗透测试。本博客将简要概述10个需要注意的问题。对于在当前实现中寻找基本弱点的管理员来说应该是有趣的。对于经验丰富的老人来说，这篇文章很可能不那么有趣。

免责声明：文章中的方法不是完整的方法，事实上也没有完美的绕过方法。我已经列出了本文的提纲，给那些不想上来就阅读的读者。

一个有趣的选项是反病毒软件的策略偶尔用到的例外选项(可以理解是信任名单)。例如用户可以创建一个异常，允许所有具有“.exe”扩展名的文件在系统上运行。因此，大多数恶意软件和“黑客工具”都不会被阻止或删除。有关如何在Symantec End Point Protection产品中完成此操作的示例，请参阅以下Symantec帮助页面： cf8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4&6L8h3q4F1N6r3g2U0i4K6u0W2j5$3!0E0i4K6u0r3j5Y4g2K6K9h3&6W2M7%4y4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3&6V1k6i4S2Q4x3@1k6H3j5h3N6W2i4K6y4p5j5$3!0F1N6r3g2F1N6q4)9J5y4X3q4E0M7q4)9K6b7X3W2V1i4K6y4p5g2p5g2o6d9o6p5H3y4o6x3J5y4R3`.`.

这在近几年不太常见，但历史上非管理用户有权通过GUI界面禁用许多反病毒软件。过去就像右键单击任务栏图标并选择禁用一样简单。可以想象，执行绕过反病毒所需的技能水平很低，但组织面临的风险很高。

一些反病毒软件由多个服务组成，这些服务喜欢不断重启。 那在禁用服务之前终止进程可以派上用场。 通常可以使用taskkill命令。 这是基于Metasploit发布模块“killav”的作用。 仔细查看该模块可以在这里找到：340K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6J5j5i4m8A6k6o6N6Q4x3V1k6E0k6i4c8S2M7%4m8D9L8$3W2@1i4K6u0V1k6Y4u0S2L8h3g2%4L8%4u0C8i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8Y4y4U0M7X3W2H3N6s2y4Q4x3V1k6E0k6i4c8W2M7Y4m8J5k6i4c8W2M7W2)9J5c8X3E0A6L8r3I4S2N6W2)9J5k6i4u0T1

您可以发出以下命令，使用taskkill手动强制终止任务：

在某些情况下，用户没有通过GUI禁用反病毒的权限，但他们确实可以控制相关服务。 如果是这种情况，则通常可以停止和禁用防病毒服务。 这可以通过services.msc，“sc”命令或“net stop”命令来完成。 但是在退出系统之前，请始终确保成为一个好的测试者并将服务恢复到其原始状态。

要停止Windows服务，请发出以下命令：

要禁用Windows服务，请发出以下命令：

services.msc控制台还可用于通过GUI界面停止和禁用服务。 可以通过导航到【开始菜单】-> 【运行】并键入“services.msc”来访问它。

这是Khai Tran告诉我的一个非常酷的技巧。他引用的原始文章可以在54dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2L8i4y4V1L8W2)9J5k6h3y4G2L8g2)9J5c8X3u0Q4x3V1k6Y4M7X3g2Y4k6$3#2Q4x3V1k6S2M7X3y4Z5K9i4k6W2i4K6u0r3x3U0l9H3y4g2)9J5c8U0l9J5i4K6u0r3x3U0q4Q4x3V1j5K6y4K6M7$3y4U0y4Q4x3X3g2S2M7%4m8^5找到。我建议看看这篇文章。简而言之，用户可以通过在注册表中设置自定义调试器来防止运行反病毒程序。当操作系统或用户尝试执行反病毒软件时，将执行指定的调试程序。这个方法太聪明了，恶意软件开发人员多年来一直使用它。下面提供了进行攻击的基本步骤。请注意，这些是从上面的链接中获取的。

虽然我不建议在渗透测试期间卸载反病毒软件，但这个方法仍然可以被视为有效的旁路方法。在卸载过程开始之前，某些反病毒卸载可能需要密码。在这些情况下，通常可以在注册表或系统上的ini文件中找到密码。但是可以使用其他旁路方法，如下面文章链接中所述。文章中建议在提示输入卸载密码时简单地终止“msiexec.exe”进程。382K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2W2L8s2m8V1k6i4y4C8k6$3g2W2K9#2)9J5k6h3y4G2L8g2)9J5c8X3S2W2L8s2m8Q4x3X3c8V1k6i4y4C8i4K6u0r3N6h3&6A6L8Y4y4@1j5h3I4D9i4K6u0V1M7%4W2E0j5h3&6@1k6h3y4Q4x3X3c8W2L8X3c8H3L8$3W2F1N6q4)9J5k6s2m8J5L8%4c8W2j5%4c8A6L8$3&6Q4x3X3c8%4K9i4c8Z5L8%4g2@1i4K6u0V1j5g2)9J5k6s2m8S2M7%4y4%4L8%4u0V1i4K6u0r3

某些反病毒软件未配置为在通过UNC路径访问时扫描或阻止从SMB或WebDAV执行恶意二进制文件。这很奇怪，但确实如此。因此攻击者可以简单地映射包含后门，黑客工具等恶意的共享，并执行恶意软件。我猜有些人的印象是恶意软件无法存储在网络驱动器上。同样，某些反病毒软件未配置为扫描或阻止从可移动介质（如SD卡，iPod或USB驱动器）执行二进制文件。在社会工程学活动中现场丢弃恶意的USB驱动器是很常见的手法，所以这个让我有点害怕。

备用数据流允许用户通过扩展文件名将数据存储在文件中。微软表示，“默认情况下，所有数据都存储在文件的主要未命名数据流中，但通过使用语法 ‘file:stream’可以读取和写入替换数据。恶意软件通常在备用流中存储文本，有效载荷(Payload)甚至完整二进制文件。历史上，反病毒软件错过了许多使用替代数据流的恶意软件。然而，多年来，AV在寻找它们方面变得更好。您可以使用流扫描系统中包含备用数据流的文件（2e1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2F1k6i4c8Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3M7%4W2K6K9h3&6@1k6i4u0F1j5h3I4K6i4K6u0r3j5X3t1^5z5e0M7@1y4o6m8Q4x3X3g2S2M7%4m8^5）来自Sysinternals工具包的工具。此外，您可以使用下面的基本示例自行尝试该技术。将文本“Hello world”回显到新文件的主数据流中：

将文本“Hello Evil”回显为备用数据流：

从文件的主数据流中读取：

从文件的替代数据流中读取：

在某些情况下，我发现如果反病毒软件被放入DLL而不是EXE文件中，反病毒软件就会错过恶意代码。我提供了一个如何使用Metasploit框架生成和运行DLL的基本示例。使用msfpayload命令创建包含meterpreter有效Payload的evil.DLL：

[培训]科锐逆向工程师培训第53期2025年7月8日开班！