摘要：安全研究人员 Arsenii es3n1n 发布了一款名为 Defendnot 的安全工具，该实验性程序通过 Windows 安全中心（WSC, Windows Security Center）直接注册为杀毒软件，从而禁用 Windows Defender。

安全研究人员 Arsenii es3n1n 发布了一款名为 Defendnot 的安全工具，该实验性程序通过 Windows 安全中心（WSC, Windows Security Center）直接注册为杀毒软件，从而禁用 Windows Defender。

突破性技术实现方式

虽然安全研究人员长期研究如何与 Defender 交互或绕过其防护，但 Defendnot 采用了全新方法：直接与 WSC API 通信。该 API 未公开文档，需与微软签署保密协议（NDA, Non-Disclosure Agreement）才能获取官方文档。

Defendnot 的核心原理是利用 Windows 安全中心服务。WSC 作为 Windows 的核心组件，允许杀毒软件向操作系统注册自身。这种注册会通知 Windows 系统已存在替代杀毒方案，从而自动禁用 Windows Defender 以避免冲突。

与传统方法的差异

此前通过编程方式禁用 Windows Defender 的尝试（如 "no-defender" 工具）依赖于"其他杀毒软件提供的第三方代码在 WSC 中注册自身"。相比之下，"Defendnot 直接与 WSC 交互"，采用了更直接的处理方式。

工具使用限制

但 Defendnot 存在一个限制：为确保系统重启后 Windows Defender 仍保持禁用状态，"Defendnot 会将自己添加到开机自启动项"。这意味着"Defendnot 的二进制文件"必须保留在用户磁盘上。

Arsenii 的完整技术说明详细阐述了该机制，并在 GitHub 上提供了可用的概念验证（PoC, Proof of Concept）。该工具严格限于研究和教育用途，不得用于生产环境或攻击场景。

来源：树懒财经