摘要：安全研究员 Arsenii es3n1n 发布了一款名为 Defendnot 的安全工具，这是一款实验性实用程序，它通过 Windows 安全中心 (WSC) 直接将自己注册为防病毒解决方案，从而禁用 Windows Defender。

安全研究员 Arsenii es3n1n 发布了一款名为 Defendnot 的安全工具，这是一款实验性实用程序，它通过 Windows 安全中心 (WSC) 直接将自己注册为防病毒解决方案，从而禁用 Windows Defender。

虽然安全研究人员长期以来一直在分析与 Defender 交互或绕过 Defender 的方法，但 Defendnot 采取了一种新颖的方法：它直接与 WSC API 通信，该 API 没有记录，需要与 Microsoft 签署 NDA 才能访问官方文档。

Defendnot 的核心在于利用 Windows 安全中心 (WSC) 服务。WSC 是 Windows 的核心组件，允许防病毒 软件在操作系统中注册。此注册会通知 Windows 存在其他防病毒解决方案，从而促使其禁用 Windows Defender 以避免冲突。

以前尝试以编程方式禁用 Windows Defender 的工具（例如“ no-defender ”）依赖于“其他 AV 提供的第三方代码在 WSC 中注册”。相比之下，“ defendnot”直接与 WSC 交互，采取了更直接的方式。

图片：es3n1n

然而，“defendnot” 有一个限制。为了确保 Windows Defender 在系统重启后仍保持禁用状态，“ defendnot” 会将自身添加到自动运行程序中。这意味着“ defendnot 二进制文件”必须保留在用户的磁盘上。

Arsenii 的完整文章（https://blog.es3n1n.eu/posts/how-i-ruined-my-vacation/）详细介绍了该机制，并在GitHub（https://github.com/es3n1n/defendnot）上提供了一个可行的概念验证 (PoC) 。该工具仅用于研究和教育目的，不应部署在生产或攻击场景中。

来源：Web3软件开发一点号