安全研究人員 Arsenii es3n1n 發(fā)布了一款名為 Defendnot 的安全工具，該實驗性程序通過 Windows 安全中心（WSC, Windows Security Center）直接注冊為殺毒軟件，從而禁用 Windows Defender。

突破性技術(shù)實現(xiàn)方式

雖然安全研究人員長期研究如何與 Defender 交互或繞過其防護(hù)，但 Defendnot 采用了全新方法：直接與 WSC API 通信。該 API 未公開文檔，需與微軟簽署保密協(xié)議（NDA, Non-Disclosure Agreement）才能獲取官方文檔。

Defendnot 的核心原理是利用 Windows 安全中心服務(wù)。WSC 作為 Windows 的核心組件，允許殺毒軟件向操作系統(tǒng)注冊自身。這種注冊會通知 Windows 系統(tǒng)已存在替代殺毒方案，從而自動禁用 Windows Defender 以避免沖突。

與傳統(tǒng)方法的差異

此前通過編程方式禁用 Windows Defender 的嘗試（如 "no-defender" 工具）依賴于"其他殺毒軟件提供的第三方代碼在 WSC 中注冊自身"。相比之下，"Defendnot 直接與 WSC 交互"，采用了更直接的處理方式。

圖片來源：es3n1n

工具使用限制

但 Defendnot 存在一個限制：為確保系統(tǒng)重啟后 Windows Defender 仍保持禁用狀態(tài)，"Defendnot 會將自己添加到開機(jī)自啟動項"。這意味著"Defendnot 的二進(jìn)制文件"必須保留在用戶磁盤上。

Arsenii 的完整技術(shù)說明詳細(xì)闡述了該機(jī)制，并在 GitHub 上提供了可用的概念驗證（PoC, Proof of Concept）。該工具嚴(yán)格限于研究和教育用途，不得用于生產(chǎn)環(huán)境或攻擊場景。