{"id":257367,"date":"2021-09-07T00:26:39","date_gmt":"2021-09-06T22:26:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257367"},"modified":"2023-01-22T22:47:11","modified_gmt":"2023-01-22T21:47:11","slug":"den-defender-unter-windows-mit-symbolischen-links-ausknipsen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/07\/den-defender-unter-windows-mit-symbolischen-links-ausknipsen\/","title":{"rendered":"Den Defender unter Windows mit symbolischen Links ausknipsen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Symbolische Links erm\u00f6glichen es unter Windows den Defender als Virenschutz auszuknipsen, ohne dass man Features wie Tamper Protection abschalten muss. Der Ansatz l\u00e4sst den Defender beim Scan schlicht in den Wald laufen, weil der Virenscanner auf andere Ordner umgeleitet wird. Ich bin vor einiger Zeit auf entsprechende Hinweise gesto\u00dfen, die ich kurz besprechen m\u00f6chte.<\/p>\n

<\/p>\n

\"\"Das Ganze ist mir \u00fcber nachfolgenden Tweet<\/a> zur Kenntnis gelangt, die zugeh\u00f6rigen Ausf\u00fchrungen finden sich im Artikel Killing Defender through NT symbolic links redirection<\/a>.<\/p>\n

\"Defender<\/a><\/p>\n

Es ben\u00f6tigt lediglich Administratorrechte, um den Defender unter Windows daran zu hindern, seine Arbeit auszuf\u00fchren. Es ist nicht einmal ein Zugriff auf die GUI des Betriebssystems erforderlich, um den Manipulationsschutz (Tamper Protection) zu deaktivieren. Alles, was man tun muss, ist den symbolischen NT-Link<\/p>\n

\\Device\\BootDevice<\/p>\n

umzuleiten. Die Verzeichnisangabe ist Teil des NT-Pfads, von dem aus das WdFilter-Treiber-Binary von Defender geladen wird. Beim Laden eines Treibers in Windows gibt es zwei M\u00f6glichkeiten, um anzugeben, wo sich die Treiber-Bin\u00e4rdatei im Dateisystem befindet: Win32-Pfade und NT-Pfade.<\/p>\n

Win32-Pfade sind eine abgespeckte Version der umfassenderen NT-Pfade und st\u00fctzen sich stark auf symbolische NT-Links. Ein Win32-Pfad auf den Filtertreiber sieht dann so aus:<\/p>\n

C:\\Windows\\System32\\Driver\\wd\\WdFilter.sys<\/p>\n

w\u00e4hrend der NT-Pfad folgenderma\u00dfen geschrieben wird:<\/p>\n

\\Device\\HarddiskVolume4\\Windows\\System32\\Driver\\wd\\WdFilter.sy<\/p>\n

NT-Pfade k\u00f6nnen symbolische NT-Links enthalten. Die Autoren des verlinkten Artikels haben Code erstellt, um die betreffenden NT-Pfade durch symbolische Links auf andere Verzeichnisinhalte auf einem Laufwerk umzuleiten. Der Defender l\u00e4uft dann zwar weiter, kann aber nichts sinnvolles mehr scannen.<\/p>\n

Diese Technik kann auch verwendet werden, um den Defender dazu zu bringen, einen beliebigen Treiber zu laden, der von keinem Tool gefunden werden kann, der aber keinen Neustart \u00fcberlebt. Der Code dazu befindet sich in APTortellinis Github-Repository unDefender<\/a>. Details des Konzepts sind dem Artikel hier<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Symbolische Links erm\u00f6glichen es unter Windows den Defender als Virenschutz auszuknipsen, ohne dass man Features wie Tamper Protection abschalten muss. Der Ansatz l\u00e4sst den Defender beim Scan schlicht in den Wald laufen, weil der Virenscanner auf andere Ordner umgeleitet wird. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[2699,4328,4313,3288],"class_list":["post-257367","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-defender","tag-sicherheit","tag-virenschutz","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257367"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257367\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257367"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257367"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}