通过杀软 avast 及 no-defender 工具分析 Windows 防护机制
内容提要
Windows Defender已发展为端点检测和响应软件,成为Windows安全体系的一部分。安全研究员es3n1n分享了开源工具no-defender,通过逆向分析Avast杀毒软件提取关键组件,实现完全关闭Defender。no-defender工具修改Avast的运行逻辑,调用Windows Security Center注册杀毒软件的逻辑,实现Defender的自动关闭。
关键要点
-
Windows Defender已发展为端点检测和响应软件,成为Windows安全体系的一部分。
-
安全研究员es3n1n分享了开源工具no-defender,通过逆向分析Avast杀毒软件提取关键组件,实现完全关闭Defender。
-
关闭Defender的方案包括临时关闭实时保护、添加排除文件夹、组策略和注册表修改等,但大多数方案已失效。
-
no-defender工具通过hook修改Avast的运行逻辑,调用Windows Security Center注册杀毒软件的逻辑,实现Defender的自动关闭。
-
Avast通过wscsvc服务与Windows安全中心通信,注册杀毒软件状态。
-
wsc.dll的核心逻辑在于处理RPC请求并向Windows安全中心同步杀毒软件状态。
-
no-defender工具的代码实现包括hook CreateFileW和queue_worker函数,以向Windows安全中心报告杀毒软件状态。
-
成功构建powrprof.dll后,可以注册服务并启动以实现Defender的关闭。
延伸问答
Windows Defender的主要功能是什么?
Windows Defender已发展为端点检测和响应软件,成为Windows安全体系的一部分。
no-defender工具是如何工作的?
no-defender工具通过逆向分析Avast杀毒软件,提取关键组件并修改其运行逻辑,从而实现完全关闭Defender。
关闭Windows Defender的常见方法有哪些?
常见方法包括临时关闭实时保护、添加排除文件夹、组策略和注册表修改等,但大多数方案已失效。
Avast与Windows安全中心之间是如何通信的?
Avast通过wscsvc服务与Windows安全中心通信,注册杀毒软件状态并调整安全策略。
no-defender工具的代码实现包含哪些关键部分?
no-defender工具的代码实现包括hook CreateFileW和queue_worker函数,以向Windows安全中心报告杀毒软件状态。
关闭Defender的方案为什么会失效?
由于Windows安全体系的层层加码,许多关闭Defender的方案都存在局限性或直接失效。
