Zuverlässige Möglichkeit, AV-Prozesse unter Windows zu beenden?

517
GAD3R

Was ist ein zuverlässiger Weg, um gegen Kündigung geschützte AV-Prozesse zu beenden? (Wie die meisten Antivirenprogramme)

Ich habe auf einer Maschine Zugriff auf SYSTEM-Ebene, aber beim Ausführen eines taskkill /FProzesses wird immer noch "Zugriff verweigert" zurückgegeben.

Ich habe es versucht wmic process where name='' delete.. Immer noch Zugriff verweigert.

Gibt es eine Möglichkeit, einen Prozess wie diesen zu beenden?

1
Es gibt keine Antwort darauf, es wird davon abhängen, wie das Sicherheitsprodukt Selbstverteidigung implementiert hat. Ich vermute, dass ein Fahrer es verhindert. Angesichts des Anbieters der Lösung gehe ich davon aus, dass ein oder mehrere Treiber geladen werden, die früh beim Booten starten. Haben Sie Process Hacker ausprobiert? Möglicherweise benötigen Sie einen Treiber, um einen anderen zu entfernen, ohne den abgesicherten Modus zu starten, um möglicherweise Treiber zu deaktivieren. HelpingHand vor 5 Jahren 1
@HelpingHand Würde Prozesshacker nicht installiert, muss er neu gestartet werden? War es für einen Penetrationstest, ist die Installation eines Treibers die einzige Möglichkeit, den AV zu töten? Haben Sie auch Ressourcen, um mehr über die Funktionsweise dieser Abwehrmaßnahmen zu erfahren? vor 5 Jahren 0
Die andere würde nur die Deinstallation oder das Entladen der genannten Anwendung auslösen (wiederum hängt vom Hersteller und dessen Unterstützung ab). Seth vor 5 Jahren 0

0 Antworten auf die Frage