禁用 Windows Defender 的一种有趣方法

工作原理

Windows 中有一个 WSC(Windows 安全中心)服务,防病毒软件使用它来让 Windows 知道有其他防病毒软件在运行,并禁用 Windows Defender。
这个 WSC API 是没有文档的,而且还要求人们与微软签署一份 NDA(保密协议)才能获得它的文档,因此我决定采用一种有趣的方法来解决这个问题,那就是使用一种已经存在的名为 Avast 的杀毒软件。该防病毒引擎包含一个所谓的 wsc_proxy.exe 服务,它基本上为 Avast 设置了 WSC API。
通过一点逆向工程,我把这个服务变成了一个可以在其中添加我自己的东西的服务。

限制

遗憾的是,为了在重启后仍能保留 WSC 的内容,no-defender 会将自己(其实不是自己,而是 Avast 的模块)添加到自动运行中。因此,您需要在磁盘上保留 no-defender 二进制文件:(

使用方法

下载地址 https://github.com/es3n1n/no-defender/tree/master

Usage: no-defender-loader [--help] [--version] [--disable] [--name VAR]

Optional arguments:
  -h, --help     shows help message and exits
  -v, --version  prints version information and exits
  --disable      disable the no-defender stuff
  --name         av name [default: "github.com/es3n1n/no-defender"]
阅读余下内容
 

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注


京ICP备12002735号