iShowCybersecurity🛡️When Windows Defender Tries to Fight Malware
Sometimes your system tries its best to protect itself.
IzoateWindows Security Not Opening? 😟
You’re not alone. If Windows Security won’t open in Windows 11 or 10, these 8 recommended fixes can help restore Defender, fix blank screens, and keep your PC protected—no reinstall needed.
#Windows11 #Windows10 #WindowsSecurity #WindowsDefender #Technology
https://www.izoate.com/blog/8-recommended-fix-for-windows-security-not-opening-in-windows-11-10/
Jake in the desertFinally did something I've been meaning to do for a LONG time, fully disabled Defender on this HP laptop with Windows 10. Been driving me nuts, when I need to test things, and how Defender restarts automatically if you restart your laptop. The guide I found that was amazing and worked was this: https://www.izoate.com/blog/how-to-disable-windows-defender-permanently-on-windows-10-and-windows-11.
I really had to dig around in the registry. Just turning it off or messing with the Group policy stuff didn't work. I had to make a backup, and go manually turn off everything I could in the registry. I appreciate safety and whatnot, but fuckin Windows. 🙄 😂
#WindowsDefender #DisableWindowsDefender #Windows #Windows10 #laptop #HowTo #WindowsHowTo
Obiwan2208Since #W95, I have not antivirus.
I realized that all antivirus were freezing my computer's resources. In W10, I even removed #WindowsDefender, along other #bloatware.
To date, I've only had ONE virus: An impressive score for 30 years. No suscriptions, no paids, no updates, *no headaches*...and of course, no slow-motion in computer.
Just, #CommonSense.
https://www.makeuseof.com/deleted-antivirus-my-pc-is-now-safer/
aaron ~# 
This makes perfect sense, right?
Excluding a process from windows defender will be detected.
Excluding a process and a path from windows defender won't.
(this is windows 10 on it's last security update)
Your device is no longer receiving security updates but Still gets a security update for Windows Defender.
maniabelAugen auf beim Download!
In einer neuen Malvertising‑ und SEO‑Poisoning‑Kampagne, die vom Conscia’sForensicInvestigation-Team oder auch Blackpoint‑SOC entdeckt wurde, bewerben Datenhaie eine gefälschte Website, die erscheint, wenn User:innen z. B. in Bing nach „Teams download“ suchen. Die Original-MS-Website wird imitiert und auch die Downloaddatei sieht zunächst "normal" aus. Doch der Installer verbreitet das Oyster‑Backdoor‑Tool auf Windows‑Geräten und verschafft Angreifern Fernzugriff auf infizierte Geräte, sodass diese Befehle ausführen, weitere Payloads bereitstellen und Dateien übertragen können. Die Angreifenden zielen in erster Linie auf Firmennetzwerke.
In diesem Fall wurde durch die Attack Surface Reduction (ASR)‑Regeln von Microsoft Defender der Angriff neutralisiert: Die Malware wurde daran gehindert, Kontakt zu ihrem Command‑and‑Control‑Server herzustellen.
Auch wenn dieser und ähnliche Angriffe abgefangen werden konnten, muss doch mit weiteren Varianten gerechnet werden. Daher gilt:
Download von ausführbaren Dateien nur von der Originalquelle oder sorgfältig geprüften vertrauenswürdigen Hubs (z. B. große Verlage mit digitalen Portalen). Prüfen Sie Links wohin diese führen, bevor Sie klicken.
https://conscia.com/blog/from-seo-poisoning-to-malware-deployment-malvertising-campaign-uncovered/
#infosec #microsoft #teams #malware #WindowsDefender #oyster #BeDiS
Who Let The Dogs Out 🐾#blue_team #WindowsDefender #symlink
- Право `Create symbolic links (SeCreateSymbolicLinkPrivilege)` должно быть только у администраторов. На рабочих станциях выключите `Developer Mode`, чтобы юзеры без прав администратора не могли создавать symlink-и.
- Включите `Tamper Protection` в `Microsoft Defender` и `WDAC/AppLocker`, разрешайте запуск только из подписанных, ожидаемых путей, а не из «любой» папки.
- Проверьте `ACL` каталога платформы `Defender` — право записи должны иметь только `SYSTEM/TrustedInstaller`.
Самый надежный способ обезвредить этот приём — лишить злоумышленника права создавать ссылки, а также детектировать любые попытки трогать каталоги платформы Defender.
#red_team #WindowsDefender #symlink
- После выполнения команда создает объект в `C:\ProgramData\Microsoft\Windows Defender\Platform\` с именем `5.18.25070.5-0`. Но этот «каталог» на самом деле является указателем, при обращении к которому система перенаправляет все операции в `C:\TMP\AV`.
- Defender при старте выбирает «самую свежую» подпапку своей платформы по строке версии. И когда он попытается скачать и распаковать обновления, записать служебные файлы или обратиться к своим конфигурациям, операции будут выполняться не в его оригинальном каталоге, а в подложном.
За счет того, что Defender «верит» системному пути, подмена сохраняется до тех пор, пока ссылка не будет обнаружена.
Подробности (https://www.zerosalarium.com/2025/09/Break-Protective-Shell-Windows-Defender-Folder-Redirect-Technique-Symlink.html).
#red_team #WindowsDefender #symlink
- Создаем директорию, которую полностью контролируем, например: `C:\TMP\AV`. В нее в дальнейшем будет перенаправлен антивирус. Здесь можно размещать любые файлы — фейковые обновления, бинарники, заглушки, DLL-библиотеки и не только.
- Создаем `symlink` с защищенного пути на контролируемую директорию. Для Defender она будет выглядеть как «правильное» расположение.
То есть адрес легитимной рабочей папки оформляется по принципу: ProgramData\Microsoft\Windows Defender\Platform\[Version-Number]. Нужно создать контролируемую директорию с папкой, название которой соответствует последней версии Defender (это важно). Вот пример консольной команды — `mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\TMP\AV"`.