通过杀软 avast 及 no-defender 工具分析 Windows 防护机制
💡
原文中文,约11100字,阅读约需27分钟。
📝
内容提要
Windows Defender已发展为端点检测和响应软件,成为Windows安全体系的一部分。安全研究员es3n1n分享了开源工具no-defender,通过逆向分析Avast杀毒软件提取关键组件,实现完全关闭Defender。no-defender工具修改Avast的运行逻辑,调用Windows Security Center注册杀毒软件的逻辑,实现Defender的自动关闭。
🎯
关键要点
- Windows Defender已发展为端点检测和响应软件,成为Windows安全体系的一部分。
- 安全研究员es3n1n分享了开源工具no-defender,通过逆向分析Avast杀毒软件提取关键组件,实现完全关闭Defender。
- 关闭Defender的方案包括临时关闭实时保护、添加排除文件夹、组策略和注册表修改等,但大多数方案已失效。
- no-defender工具通过hook修改Avast的运行逻辑,调用Windows Security Center注册杀毒软件的逻辑,实现Defender的自动关闭。
- Avast通过wscsvc服务与Windows安全中心通信,注册杀毒软件状态。
- wsc.dll的核心逻辑在于处理RPC请求并向Windows安全中心同步杀毒软件状态。
- no-defender工具的代码实现包括hook CreateFileW和queue_worker函数,以向Windows安全中心报告杀毒软件状态。
- 成功构建powrprof.dll后,可以注册服务并启动以实现Defender的关闭。
➡️
