derwowusste
Goto Top

Der gute alte utilman-Hack funktioniert fortan nur noch im abgesicherten Modus

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor, [edit] jedoch hat man nur begrenzt Zeit, sein Kommando einzutippen, bis auch dort der Defender dazwischenhaut, aber es genügt für eine Zeile allemal.

Ich habe zum Test dann in Windows mal auf die präparierte Utilman.exe geklickt und es kam
capture
Die Erkennung als Win32/AccessibilityEscalation.A scheint seit September in den Signaturen drin zu sein, wenn man dem Datum in der Microsoft-Malwareenzyklopädie folgt.

Witzigerweise verstehen es einige auch falsch und denken, Microsoft würde nun Systemdateien als Viren erkennen face-smile
https://www.borncity.com/blog/2018/09/07/windows-defender-meldet-osk-exe ...

Content-ID: 391076

Url: https://administrator.de/contentid/391076

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 30.10.2018 um 09:22:53 Uhr
Goto Top
Zitat von @DerWoWusste:

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor.


Schade

aber es gibt ja sehr viele Wege nach Rom. Notfalls vom Südpazifik aus (-41.90276041395235, -167.54786961341517) direkt durch den Erdkern, sprich den passenden linux-Tools.

lks
DerWoWusste
DerWoWusste 30.10.2018 um 09:37:51 Uhr
Goto Top
Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.
Die Linuxtools versagen ja bei Verschlüsselung.
Lochkartenstanzer
Lochkartenstanzer 30.10.2018 aktualisiert um 09:44:40 Uhr
Goto Top
Zitat von @DerWoWusste:

Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.

So wie ich mich kenne, werde ich die Systeme meist erstmal nomal booten, um festzustellen, daß ich abgesichert hätte booten müssen. Ist zwar kein Beinbruch, aber immer ein zusätzlicher Zeitverlust.

Die Linuxtools versagen ja bei Verschlüsselung.

Dafür gibt es dann Tools für WinPE face-smile

lks
C.R.S.
C.R.S. 30.10.2018 um 19:50:26 Uhr
Goto Top
Hm, habe ich erst am Sonntag bei einem voll gepatchten Server 2016 gemacht, um ein lokales Konto zu aktivieren. Vielleicht nur Clients?
DerWoWusste
DerWoWusste 30.10.2018 um 19:52:32 Uhr
Goto Top
Who knows. Ist der Defender überhaupt an auf Deinem Server (und upgedated)?
C.R.S.
C.R.S. 30.10.2018 um 19:54:34 Uhr
Goto Top
Ja, Defender ist an und aktuell.
Xanathos79
Xanathos79 06.11.2018 um 07:54:45 Uhr
Goto Top
Hallo zusammen,

ich nehme an, das gleiche wird auch für den "sethc.exe"-Trick gelten?

Grüße
Xanathos79
DerWoWusste
DerWoWusste 06.11.2018 um 08:40:46 Uhr
Goto Top
Ja, so ist es. osk.exe ebenso usw.
kgborn
kgborn 07.01.2019 um 00:15:43 Uhr
Goto Top
Bin in anderem Zusammenhang mal wieder zu diesem Beitrag gespült worden (in Win 10 19H1 wird das wohl ausgeweitet werden). Was bisher noch zu funktionieren scheint, ist die Freigabe des Build-In-Administrators über die SAM-Registry-Einträge (siehe).
DerWoWusste
DerWoWusste 07.01.2019 aktualisiert um 08:34:01 Uhr
Goto Top
Moin kgborn und frohes Neues!

in Win 10 19H1 wird das wohl ausgeweitet werden
was ist damit gemeint?
kgborn
kgborn 09.01.2019 um 11:37:51 Uhr
Goto Top
Mir war da ein Tweet unter die Augen gekommen - der auf weitere .exe verwies, die in Windows 10 19H1 wohl auch geblockt werden. Leider finde ich den Tweet nicht mehr. Mal nicht zu hoch hängen - ich denke, dein initialer Beitrag hat das Thema ja aufgewischt. Ich werde es auch mal separat im Blog aufbereiten, da es Viele nicht wissen. Mir ist erst jetzt dein initialer Hinweis auf meinen Blog-Beitrag wieder unter die Augen gekommen und der Groschen ist gefallen face-wink.
Dpole86
Dpole86 20.07.2021 um 21:59:24 Uhr
Goto Top
Guten Abend Zusammen

Nach 21H1 ist die Prozedur etwas schwieriger aber Machbar.
ich habe dies in einem Video Detailliert nachgebildet.
Das Video findet ihr unter: https://www.youtube.com/watch?v=0DGzBrBkBfE

Im Prinzip braucht ihr einen USB-Stick, da der Defender beim Starten des Abgesicherten Modus
mit vorangegangenem "Deaktiviere die Schadsoftwareerkennung" die CMD nach ein paar Sekunden
wieder schließt.
Dennoch könnt ihr über System32 eine CMD-Datei mit den Befehlen net user und Net localgroup erstellen
und dort hinterlegen welche ihr dann über die CMD mit admin-rechten aufruft.

Schaut euch einfach das Video an face-smile

Grüße
DerWoWusste
DerWoWusste 20.07.2021 um 22:09:15 Uhr
Goto Top
Das ist nicht neu mit 21H1. Ich bekomme es weiterhin mit schnellem Tippen hin face-wink
BassFishFox
BassFishFox 21.07.2021 um 02:00:20 Uhr
Goto Top
Hi,

In dem Video wird wohl 1h15m ueber "Benutzt kein Mozilla !" gelabert?
Etwas lang fuer etwas in der CMD. 😂