Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@amanemisa(あまね みさ)in株式会社フォアーゼット

windows defender を搔い潜り危険なファイルをインストールする方法

Last updated at Posted at 2024-10-15

はじめに

皆さんはファイルをダウンロードしようとしたときにウイルス検知ソフトに引っ掛かり入れられなかった経験はございますでしょうか??是、あるからここのページにあしを踏み入れたのでしょう。

ここではどのようにしてウイルス検知ソフトに引っ掛かることなく危険なファイルをダウンロードすればいいのかを説明していこうと思います。

マルウェアとは

ここのサイトを見に来ている皆さんはマルウェアというものを鮮明にではないながらにでも理解はしていると思います。
ここでWikiの説明を引用させていただきます。
マルウェア (malware) とは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称
https://ja.wikipedia.org/wiki/%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2#:~:text=%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%20(malware)%20%E3%81%A8%E3%81%AF%E3%80%81,%E6%82%AA%E8%B3%AA%E3%81%AA%E3%82%B3%E3%83%BC%E3%83%89%E3%81%AE%E7%B7%8F%E7%A7%B0%E3%80%82 より引用。

そう、マルウェアとは私たちのPCに害を及ぼすものを指します。

危険なファイルとは

危険ファイルとはここではMimikatzなどを指します。
ではなぜMimikatzなどのツールはダウンロードができないのでしょうか?

mimikatz がwindows defender に引っかかる理由

理由としては大きく二つあげられます。

  1. シグネチャベースの検知
    Windows Defenderは、Mimikatzの実行ファイルやスクリプトの特定のバイトパターンやコードシグネチャを持っています。Mimikatzはセキュリティ上のリスクが高いツールとして広く認識されており、そのファイル名、ハッシュ値、バイナリパターンなどがウイルス定義ファイルに登録されています。そのためmimikatzの既存のバージョンは簡単に検知されているのです。
  2. 二つ目は動作検知
    Mimikatzは、資格情報のダンプやセキュリティトークンの操作といったWindowsのセキュリティシステムに対して特定の悪意ある動作をします。たとえば、LSASS (Local Security Authority Subsystem Service) からパスワードやハッシュを抽出する動作が、Windows Defenderの動作ベースの検知により不審と見なされることがあります。この動作がWindowsの標準的なアプリケーションとは大きく異なるため、Windows Defenderはそれを不正な挙動として検知されています。

ダウンロード方法

ダウンロード方法としては大きく4つ挙げられます。

  1. windows defender をきる
    1. windows settings を開きます。セキュリティの概要画面に移動をしてウイルスと脅威の防止に移動します。
      40fiwtrl.png
    2. ウイルスと脅威の防止の設定にある設定の管理を押します。
      sbic9pty.png
      3.リアルタイム保護をオフにします。
      8df32ah8.png
      管理者権限でオフにしてください。
      evh08c4l.png
      *ドメインコントローラーによって windows defender が切れない場合は2.3の場合を試してみてください。
  2. windows defender の ファイアウォールホワイトリストを作る
    1. 検索欄で「Firewall」検索します。
    2. Aliasesを選択し、「Add」のボタンをクリックして新しいホワイトリストを作成します。
      1.「Type」から「URL」を選択し、追加したいURLを入力します。(Nameにはリストの名前を入れてください)
    3. 最後に「save」ボタンを押して、「Apply changes」を押し変更を反映させることでホワイトリストが作成されます。
  3. windows defender 自体を別のウイルス検知ソフトに置き換えホワイトボックスを作る

    1. 適当に好きなウイルス検知ソフトをダウンロードしてください。(今回私はAvastをダウンロードしました)

    2. アプリを起動し windows defender が追加したウイルス検知ソフトに置き換わっているかを確認してみてみてください。

    3. 置き換わっていることを確認したらダウンロードしたウイルス検知ソフトのホワイトボックスに自分の検知から除外したいものを追加します。

      以下はAvastの除外欄です。
      {7259EB20-68B8-4A68-ADC6-3CA88175F9E0}.png
      除外欄に追加するとそのファイルなどは検知されなくなります。

  4. ウイルス検知アプリの検知を止める
    1. 2の方法と同じようにダウンロードをします。
    2. Avastの場合はメインプロテクションをすべて解除します。
      {9455A18B-E161-4C22-B4B2-F45F520A8426}.png
    3. ダウンロードできたか確認してみてください。

注意点

今回の方法でダウンロードできてもdefenderをの設定を戻すとウイルス検知が走るためファイルが削除されます。
そのためkali linuxや検知ソフトが働かない環境に移動させることを推奨いたします。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?