derwowusste
Goto Top

Der gute alte utilman-Hack funktioniert fortan nur noch im abgesicherten Modus

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor, [edit] jedoch hat man nur begrenzt Zeit, sein Kommando einzutippen, bis auch dort der Defender dazwischenhaut, aber es genügt für eine Zeile allemal.

Ich habe zum Test dann in Windows mal auf die präparierte Utilman.exe geklickt und es kam
capture
Die Erkennung als Win32/AccessibilityEscalation.A scheint seit September in den Signaturen drin zu sein, wenn man dem Datum in der Microsoft-Malwareenzyklopädie folgt.

Witzigerweise verstehen es einige auch falsch und denken, Microsoft würde nun Systemdateien als Viren erkennen face-smile
https://www.borncity.com/blog/2018/09/07/windows-defender-meldet-osk-exe ...

Content-Key: 391076

Url: https://administrator.de/contentid/391076

Printed on: January 31, 2023 at 18:01 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Oct 30, 2018 at 08:22:53 (UTC)
Goto Top
Zitat von @DerWoWusste:

An alle, die diesen Trick kennen und in ihrem Arsenal haben: Microsoft hat den Defender nun mit einer Erkennung für diesen Trick ausgestattet und er funktioniert nicht mehr (klickt man auf das Icon, passiert nichts) Aber im abgesicherten Modus geht es nach wie vor.


Schade

aber es gibt ja sehr viele Wege nach Rom. Notfalls vom Südpazifik aus (-41.90276041395235, -167.54786961341517) direkt durch den Erdkern, sprich den passenden linux-Tools.

lks
Member: DerWoWusste
DerWoWusste Oct 30, 2018 at 08:37:51 (UTC)
Goto Top
Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.
Die Linuxtools versagen ja bei Verschlüsselung.
Member: Lochkartenstanzer
Lochkartenstanzer Oct 30, 2018 updated at 08:44:40 (UTC)
Goto Top
Zitat von @DerWoWusste:

Was ist denn Schade? Du kannst es ja wie beschrieben im abgesicherten Modus weiterhin so machen.

So wie ich mich kenne, werde ich die Systeme meist erstmal nomal booten, um festzustellen, daß ich abgesichert hätte booten müssen. Ist zwar kein Beinbruch, aber immer ein zusätzlicher Zeitverlust.

Die Linuxtools versagen ja bei Verschlüsselung.

Dafür gibt es dann Tools für WinPE face-smile

lks
Member: C.R.S.
C.R.S. Oct 30, 2018 at 18:50:26 (UTC)
Goto Top
Hm, habe ich erst am Sonntag bei einem voll gepatchten Server 2016 gemacht, um ein lokales Konto zu aktivieren. Vielleicht nur Clients?
Member: DerWoWusste
DerWoWusste Oct 30, 2018 at 18:52:32 (UTC)
Goto Top
Who knows. Ist der Defender überhaupt an auf Deinem Server (und upgedated)?
Member: C.R.S.
C.R.S. Oct 30, 2018 at 18:54:34 (UTC)
Goto Top
Ja, Defender ist an und aktuell.
Member: Xanathos79
Xanathos79 Nov 06, 2018 at 06:54:45 (UTC)
Goto Top
Hallo zusammen,

ich nehme an, das gleiche wird auch für den "sethc.exe"-Trick gelten?

Grüße
Xanathos79
Member: DerWoWusste
DerWoWusste Nov 06, 2018 at 07:40:46 (UTC)
Goto Top
Ja, so ist es. osk.exe ebenso usw.
Member: kgborn
kgborn Jan 06, 2019 at 23:15:43 (UTC)
Goto Top
Bin in anderem Zusammenhang mal wieder zu diesem Beitrag gespült worden (in Win 10 19H1 wird das wohl ausgeweitet werden). Was bisher noch zu funktionieren scheint, ist die Freigabe des Build-In-Administrators über die SAM-Registry-Einträge (siehe).
Member: DerWoWusste
DerWoWusste Jan 07, 2019 updated at 07:34:01 (UTC)
Goto Top
Moin kgborn und frohes Neues!

in Win 10 19H1 wird das wohl ausgeweitet werden
was ist damit gemeint?
Member: kgborn
kgborn Jan 09, 2019 at 10:37:51 (UTC)
Goto Top
Mir war da ein Tweet unter die Augen gekommen - der auf weitere .exe verwies, die in Windows 10 19H1 wohl auch geblockt werden. Leider finde ich den Tweet nicht mehr. Mal nicht zu hoch hängen - ich denke, dein initialer Beitrag hat das Thema ja aufgewischt. Ich werde es auch mal separat im Blog aufbereiten, da es Viele nicht wissen. Mir ist erst jetzt dein initialer Hinweis auf meinen Blog-Beitrag wieder unter die Augen gekommen und der Groschen ist gefallen face-wink.
Member: Dpole86
Dpole86 Jul 20, 2021 at 19:59:24 (UTC)
Goto Top
Guten Abend Zusammen

Nach 21H1 ist die Prozedur etwas schwieriger aber Machbar.
ich habe dies in einem Video Detailliert nachgebildet.
Das Video findet ihr unter: https://www.youtube.com/watch?v=0DGzBrBkBfE

Im Prinzip braucht ihr einen USB-Stick, da der Defender beim Starten des Abgesicherten Modus
mit vorangegangenem "Deaktiviere die Schadsoftwareerkennung" die CMD nach ein paar Sekunden
wieder schließt.
Dennoch könnt ihr über System32 eine CMD-Datei mit den Befehlen net user und Net localgroup erstellen
und dort hinterlegen welche ihr dann über die CMD mit admin-rechten aufruft.

Schaut euch einfach das Video an face-smile

Grüße
Member: DerWoWusste
DerWoWusste Jul 20, 2021 at 20:09:15 (UTC)
Goto Top
Das ist nicht neu mit 21H1. Ich bekomme es weiterhin mit schnellem Tippen hin face-wink
Member: BassFishFox
BassFishFox Jul 21, 2021 at 00:00:20 (UTC)
Goto Top
Hi,

In dem Video wird wohl 1h15m ueber "Benutzt kein Mozilla !" gelabert?
Etwas lang fuer etwas in der CMD. ­čśé