安全研究人员 Arsenii es3n1n 发布了一款名为 Defendnot 的安全工具,该实验性程序通过 Windows 安全中心(WSC, Windows Security Center)直接注册为杀毒软件,从而禁用 Windows Defender。
Part01
突破性技术实现方式
虽然安全研究人员长期研究如何与 Defender 交互或绕过其防护,但 Defendnot 采用了全新方法:直接与 WSC API 通信。该 API 未公开文档,需与微软签署保密协议(NDA, Non-Disclosure Agreement)才能获取官方文档。
Defendnot 的核心原理是利用 Windows 安全中心服务。WSC 作为 Windows 的核心组件,允许杀毒软件向操作系统注册自身。这种注册会通知 Windows 系统已存在替代杀毒方案,从而自动禁用 Windows Defender 以避免冲突。
Part02
与传统方法的差异
此前通过编程方式禁用 Windows Defender 的尝试(如 "no-defender" 工具)依赖于"其他杀毒软件提供的第三方代码在 WSC 中注册自身"。相比之下,"Defendnot 直接与 WSC 交互",采用了更直接的处理方式。
图片来源:es3n1n
Part03
工具使用限制
但 Defendnot 存在一个限制:为确保系统重启后 Windows Defender 仍保持禁用状态,"Defendnot 会将自己添加到开机自启动项"。这意味着"Defendnot 的二进制文件"必须保留在用户磁盘上。
Arsenii 的完整技术说明详细阐述了该机制,并在 GitHub 上提供了可用的概念验证(PoC, Proof of Concept)。该工具严格限于研究和教育用途,不得用于生产环境或攻击场景。
参考来源:
Defendnot: New Tool Directly Disables Windows Defender
https://securityonline.info/defendnot-new-tool-directly-disables-windows-defender/
推荐阅读
电台讨论
原文始发于微信公众号(FreeBuf):新型工具Defendnot,可直接禁用Windows Defender
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论