Windows Defender 关闭机制分析与 no-defender 工具实现原理<\/h1>

1. 前言<\/h2>
Windows Defender 已从最初的杀毒软件发展为端点检测和响应软件(EDR)，成为 Windows 安全体系的核心部分。微软不建议用户关闭 Defender，且其默认关闭策略无法完全停止软件运行，这给恶意软件调试分析带来困扰。<\/p>

2. 传统关闭 Defender 方案分析<\/h2>

2.1 常见关闭方法及其局限性<\/h3>

关闭实时保护<\/strong>：<\/p>

临时性措施，Defender 会自动恢复<\/li>
仅暂停部分功能，核心服务仍在运行<\/li> <\/ul> <\/li>

添加排除文件夹<\/strong>：<\/p>

仅绕过指定文件夹的扫描<\/li>
不影响 Defender 整体运行状态<\/li> <\/ul> <\/li>

组策略关闭<\/strong>：<\/p>

路径：计算机配置 > 管理模板 > Windows组件 > Microsoft Defender防病毒<\/code><\/li>
当前版本已失效<\/li> <\/ul> <\/li>
注册表关闭<\/strong>：<\/p> 键值：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender<\/code><\/li> 添加 DisableAntiSpyware=1<\/code> (DWORD)<\/li> 当前版本已失效<\/li> <\/ul> <\/li> 服务停止<\/strong>：<\/p> 通过 Services 禁用 Defender 进程<\/li> 当前版本会被 Windows Security Center 自动重启<\/li> <\/ul> <\/li> 安全模式损坏二进制<\/strong>：<\/p> 步骤：关闭 Defender 防篡改<\/li> 进入安全模式<\/li> 修改 C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2211.5-0\MsMpEng.exe<\/code> 所有者<\/li> 重命名为 MsMpEng.exe.bak<\/code><\/li> <\/ol> <\/li> 效果：永久关闭 Defender<\/li> 缺点：侵入性强，破坏系统完整性<\/li> <\/ul> <\/li> 第三方杀毒软件接管<\/strong>：<\/p> 安装认证的第三方杀毒软件后，Defender 自动退出<\/li> 需要杀毒软件提供完全关闭功能<\/li> <\/ul> <\/li> <\/ol> 2.2 方案失效原因<\/h3> Windows 安全体系层层加码<\/li> 微软签名认证要求<\/li> 未公开 API 和安全中心消息同步机制<\/li> 版本差异导致策略变化<\/li> <\/ul> 3. no-defender 工具原理<\/h2> 3.1 核心思路<\/h3> 利用 Windows 安全防护的第三方杀毒软件接管机制：<\/p> 从 Avast 杀毒软件逆向提取关键组件<\/li> 编写 hook 代码修改关键组件执行逻辑<\/li> 向安全中心注册虚假杀毒软件<\/li> 触发 Defender 自动退出机制<\/li> <\/ol> 3.2 工具组件<\/h3> no-defender-loader.exe<\/code>：服务配置工具<\/li> powrprof.dll<\/code>：hook 实现<\/li> wsc.dll<\/code>：Avast 的 wsc 通信核心组件<\/li> wsc_proxy.exe<\/code>：Avast 的 wsc 通信程序<\/li> <\/ul> 4. Avast 的 WSC 机制分析<\/h2> 4.1 安全中心通信架构<\/h3> AvastSvc (客户端) → wsc_proxy.exe → wsc.dll → wscsvc (Windows安全中心服务) <\/code><\/pre> 4.2 关键组件<\/h3> AvastWscReporter 服务<\/strong>：<\/p> 路径：C:\Program Files\AVAST Software\Avast\wsc_proxy.exe<\/code><\/li> 功能：与安全中心通信的代理服务<\/li> <\/ul> <\/li> wsc.dll 核心功能<\/strong>：<\/p> 初始化 ASW* 文件对象<\/li> 启动 RPC 服务器<\/li> 处理安全状态更新队列<\/li> <\/ul> <\/li> <\/ol> 4.3 通信流程<\/h3> RPC 服务器初始化<\/strong>：<\/p> StartServiceCtrlDispatcherW<\/code> 启动服务<\/li> CreateThread<\/code> 创建处理线程<\/li> RpCServerRegisterIfEx<\/code> 注册 RPC 接口<\/li> <\/ul> <\/li> 消息处理机制<\/strong>：<\/p> 接收端：s_wscrpc_update()<\/code> 处理 RPC 请求解析字符串格式：\/svc \/update \/av_as \/state:[on|off] \/signatures:up_to_date<\/code><\/li> 将任务加入队列<\/li> <\/ul> <\/li> 处理端：queue_worker()<\/code> 线程循环处理队列调用 process_item()<\/code> 更新安全中心状态<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 5. no-defender 实现细节<\/h2> 5.1 关键技术点<\/h3> 关键 Hook 点<\/strong>：<\/p> CreateFileW<\/code>：绕过 ASW* 文件访问检查<\/li> queue_worker<\/code>：注入虚假状态更新<\/li> I_RpcBindingInqLocalClientPID<\/code>：伪造进程ID<\/li> <\/ul> <\/li> Hook 实现代码<\/strong>：<\/p> <\/li> <\/ol> \/\/ 绕过 ASW* 文件检查 <\/span><\/span><\/span><\/span>HANDLE WINAPI HookCreateFileW<\/span>(LPCWSTR lpFileName, DWORD dwDesiredAccess, ...) { <\/span><\/span> if<\/span> (strstr(strlwr(buffer), "asw"<\/span>) !=<\/span> NULL) { <\/span><\/span> return<\/span> (HANDLE)1337<\/span>; \/\/ 返回魔数绕过检查 <\/span><\/span><\/span><\/span> } <\/span><\/span> return<\/span> OriginalCreateFileW(...); <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ 注入状态更新 <\/span><\/span><\/span><\/span>int64_t<\/span> Hookqueue_worker<\/span>() { <\/span><\/span> wchar_t payload[1024<\/span>] =<\/span> {0<\/span>}; <\/span><\/span> mbstowcs(payload, "\/svc \/update \/av_as \/state:on \/signatures:up_to_date"<\/span>, 1024<\/span>); <\/span><\/span> S_WSCRPC_UPDATE s_wscrpc_update =<\/span> (S_WSCRPC_UPDATE)(wsc_base +<\/span> S_WSCRPC_UPDATE_ADDRESS); <\/span><\/span> s_wscrpc_update(payload, 1<\/span>); <\/span><\/span> return<\/span> Originalqueue_worker(); <\/span><\/span>} <\/span><\/span><\/code><\/pre>5.2 部署流程<\/h3> 服务注册<\/strong>：<\/p> sc.exe create test type=own start=demand binpath='\"path\to\wsc_proxy.exe\" \/runassvc \/rpcserver \/wsc_name:\"test\"'<\/span> <\/span><\/span><\/code><\/pre><\/li> 服务启动<\/strong>：<\/p> sc.exe start test <\/span><\/span><\/code><\/pre><\/li> 验证效果<\/strong>：<\/p> 检查 Windows 安全中心是否显示"test"防护软件<\/li> 确认 Defender 进程已退出<\/li> <\/ul> <\/li> <\/ol> 5.3 注意事项<\/h3> 服务停止问题<\/strong>：<\/p> wsc.dll 未提供正常关闭逻辑<\/li> 解决方案：系统重启或 hook 代码中主动退出<\/li> <\/ul> <\/li> 未处理的 DeviceIoControl<\/strong>：<\/p> 访问 ASW* 设备可能出错<\/li> 可扩展 hook 修复<\/li> <\/ul> <\/li> <\/ol> 6. 防御对策<\/h2> 微软可采取的防护措施<\/strong>：<\/p> 加强第三方杀软认证机制<\/li> 验证组件数字签名完整性<\/li> 监控异常的服务注册行为<\/li> <\/ul> <\/li> 企业防护建议<\/strong>：<\/p> 启用防篡改保护<\/li> 监控 powrprof.dll 等关键组件修改<\/li> 限制服务创建权限<\/li> <\/ul> <\/li> <\/ol> 7. 总结<\/h2> no-defender 工具通过逆向 Avast 的 WSC 通信机制，利用 hook 技术伪造杀毒软件状态，实现了对 Defender 的非破坏性关闭。该技术揭示了 Windows 安全中心与第三方杀毒软件间的信任机制漏洞，对理解 Windows 安全体系有重要研究价值。<\/p>

Windows Defender 关闭机制分析与 no-defender 工具实现原理<\/h1>

1. 前言<\/h2> Windows Defender 已从最初的杀毒软件发展为端点检测和响应软件(EDR)，成为 Windows 安全体系的核心部分。微软不建议用户关闭 Defender，且其默认关闭策略无法完全停止软件运行，这给恶意软件调试分析带来困扰。<\/p>

2. 传统关闭 Defender 方案分析<\/h2>

3. no-defender 工具原理<\/h2>

4. Avast 的 WSC 机制分析<\/h2>

5. no-defender 实现细节<\/h2>

1. 前言<\/h2>
Windows Defender 已从最初的杀毒软件发展为端点检测和响应软件(EDR)，成为 Windows 安全体系的核心部分。微软不建议用户关闭 Defender，且其默认关闭策略无法完全停止软件运行，这给恶意软件调试分析带来困扰。<\/p>