聲明：該公眾號大部分文章來自作者日常學習筆記，也有少部分文章是經過原作者授權和其他公眾號白名單轉載，未經授權，嚴禁轉載，如需轉載，聯系開白。 請勿利用文章內的相關技術從事非法測試，如因此產生的一切不良后果與文章作者和本公眾號無關。 所有話題標簽： #Web安全? ?#漏洞復現? ?#工具使用? ?#權限提升 #權限維持???#防護繞過???#內網安全? ?#實戰案例 #其他筆記? ?#資源分享? ?#MSF

0x01 前言

上篇文章中給大家分享了一些我自己整理的常見WAF進程、服務以及用于識別WAF的相關項目，在這篇我將繼續給大家分享一些常見反病毒的進程、服務以及識別反病毒的相關項目，至于文章中提到的一些繞過方法可能已經失效，不過還是可以作為參考的，都是以前實戰項目中的筆記！

0x02 常見反病毒進程和服務

(1) 金山毒霸

進程名：kxescore.exe、kupdata.exe、kxetray.exe、kwsprotect64.exe

(2) 360殺毒/衛士

服務名：ZhuDongFangYu（360主動防御的服務）、360 Skylar Service 360殺毒進程名：360sd.exe、360tray.exe、360rp.exe、LiveUpdate360.exe、zhudongfangyu.exe 360衛士進程名：360Safe.exe、360Tray.exe、LiveUpdate360.exe、ZhuDongFangYu.exe 360天擎終端安全管理系統進程名：360skylarsvc.exe

(3) 騰訊電腦管家

服務名：QQPCRTP 進程名：QQPCRTP.exe、QQPCTray.exe、QQPCNetFlow.exe、QQPCRealTimeSpeedup.exe

(4) 火絨安全軟件

服務名：HipsDaemon 進程名：HipsDaemon.exe、HipsTray.exe、HipsLog.exe、HipsMain.exe、usysdiag.exe、wsctrl.exe

(5) AVG

進程名：avg.exe、avgwdsvc.exe

(6) Avast

進程名：AvastUI.exe、ashDisp.exe

(7) ESET NOD32 Antivirus

服務名：ekrn 進程名：egui.exe、eguiProxy.exe、ekrn.exe、EShaSrv.exe

(8) ClemWin Free Antivirus

進程名：ClamTray.exe、clamscan.exe

(9) Sophos Anti-Virus、Sophos Endpoint Security and Control

服務名：Sophos Web Control、SAVService、SAVAdminService、swi_service、swi_filter 進程名：SavMain.exe、SavProgress.exe

(10) Malwarebytes Anti-Malware、Malwarebytes Premium Trial

服務名：MBAMService 進程名：MBAMService.exe、mbam.exe、mbamtray.exe

(11) GData（德國一款安全防護軟件）

• 繞過防護：停止AntiVirusKit Client服務，禁用AVKWCtl服務，結束AVKWCtl.exe進程。

服務名：GDScan（G Data掃描器）、AVKWCtl（G Data文件系統實時監控）、AntiVirusKit Client（G Data安全軟件客戶端）、AVKProxy（G Data殺毒代理）、GDBackupSvc（G Data備份服務） 進程名：GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe

(12) PC-cillin趨勢反病毒、趨勢科技防毒墻網絡版客戶端

• 繞過防護：趨勢科技防毒墻網絡版客戶端可直接用taskkill /f /im ntrtscan.exe命令結束進程來停止實時防護功能，1分鐘左右后自動啟動并恢復該進程。

進程名：ntrtscan.exe、TMBMSRV.exe

(13) McAfee AVERT Stinger、McAfee VirusScan Enterprise（麥咖啡）

• 關閉防護：打開VirusScan控制臺，關閉“按訪問掃描程序”。

服務名：McTaskManager、McShield、mfevtp、McAfeeEngineService、McAfeeFramework 進程名：Tbmon.exe、shstat.exe、McTray.exe、mfeann.exe、mfevtps.exe、UdaterUI.exe、naPrdMgr.exe、VsTskMgr.exe、McShield.exe、EngineServer.exe、FrameworkService.exe

(14) Symantec endpoint protection（賽門鐵克）

• 繞過防護：可用shellter第三方工具免殺MSF Payload即可成功繞過，在實戰中有過成功案例。

服務名：ccEvtMgr、ccSetMgr 進程名：ccEvtMgr.exe、ccSetMgr.exe、ccsvchst.exe、rtvscan.exe、smc.exe、smcGui.exe、snac.exe

(15) Kaspersky卡巴斯基企業版/服務器版

• Kaspersky Endpoint Security、Kaspersky Anti-Virus 8.0企業版

• 關閉防護：右鍵托盤圖標，恢復保護和控制。

• 繞過防護：Admins/System權限下可以Kill掉kavtray.exe、kavfswp.exe進程（執行3-4次），成功后會自動運行進程，但中間會間隔幾秒后保護功能才生效，快速將MSF Payload傳上去并執行。klnagent.exe，kavfs.exe進程在System、Administrators權限下都Kill不掉 ，顯示Kill掉成功后又會自動運行進程，朋友說一般殺毒軟件都有自保護功能。

服務名：AVP（保護計算機遠離病毒、木馬、蠕蟲、間諜軟件和計算機犯罪。） 進程名：avp.exe、kavfs.exe（Kaspersky?Anti-Virus?Service）、klnagent.exe（Kaspersky?Administraton?Kit?Network?Agent）、kavtray.exe（Kaspersky?Anti-Virus?tray?app“主進程”）、kavfswp.exe（Kaspersky?Anti-Virus?worker?process）

(16) Windows Defender（微軟）

• Microsoft Security Essentials（Win7/2k3）

• System Center Endpoint Protection（2k8/12）

• Windows Defender Antivirus（Win8/10/2k16）

• 關閉防護：settings -> Read-time Protection->Enable real-time protection（勾去掉！）。

服務名：WinDefend、MsMpSvc（幫助用戶防止惡意軟件及其他潛在的垃圾軟件。） 進程名：MsMpEng.exe、NisSrv.exe、MsSense.exe、msseces.exe、MpCmdRun.exe、MSASCui.exe、MSASCuiL.exe、SecurityHealthService.exe

0x03 反病毒識別的相關項目

(1) get_AV

get_AV項目是@Se7en大佬用PHP寫的一個Windows殺軟在線對比輔助程序，并且自帶了一些殺軟進程數據，可以將我們自己搜集整理的殺軟進程列表整合起來一起使用。

(2) SharpAVKB

SharpAVKB項目是@Uknow大佬用C#寫的一款KB補丁編號和殺軟進程對比工具，這里我將以前自己搜集的這些WAF和反病毒軟件的進程添加至SharpAVKB中，然后重新編譯一下即可，可以直接用CobaltStrike的execute-assembly命令將該工具直接加載到內存中執行。

(3) ProcessTree

ProcessTree.cna是CobaltStrike中的一款用于ps命令顯示進程數并上色的插件，常見管理員工具進程為青色，瀏覽器進程為綠色，安全防護軟件進程為紅色，可在插件代碼中自行添加相關進程。

(4) 項目地址

• https://github.com/gh0stkey/avList

• https://github.com/r00tSe7en/get_AV

• https://github.com/uknowsec/SharpAVKB

• https://github.com/3had0w/Antivirus-detection

• https://github.com/ars3n11/Aggressor-Scripts

總結

以上是生活随笔為你收集整理的常见反病毒进程/服务/识别总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。