可以成功利用版本server 2016 server 2019
主要是利用一些windows设置的白名单程序和路径来排除,在这些路径下的程序名或者路径都被视为白名单,不经过Windows Defender的检测
刚看见一个比较有用的技巧,通过注册表可以查看Windows defender的加白路径,如果实际不存在这个路径可以创建目录。 reg query “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths” 
查看白名单后缀
reg query “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions”
查看白名单进程
reg query “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes”
若有收获,就点个赞吧
0 人点赞
