Defender Control:Windows Defender深度禁用与权限提升技术详解
Defender ControlWindows Defender深度禁用与权限提升技术详解【免费下载链接】defender-controlAn open-source windows defender manager. Now you can disable windows defender permanently.项目地址: https://gitcode.com/gh_mirrors/de/defender-controlDefender Control 是一款开源 Windows Defender 管理工具通过创新的权限提升技术和多层次防护策略实现了对 Windows Defender 的深度控制。该工具采用 TrustedInstaller 权限运行通过修改注册表、重命名系统文件、控制服务等多种手段为开发者和高级用户提供了对 Windows 安全防护的精细化管理能力。Windows Defender 防护机制分析Windows Defender 作为 Windows 系统的内置安全解决方案采用了多层次防护架构。要完全禁用 Defender需要理解其核心组件和工作原理核心组件架构组件名称功能描述启动类型WinDefend 服务主防护服务管理实时监控自动启动WdFilter.sys文件系统微过滤器驱动程序系统启动WdBoot.sys启动时 ELAM 驱动程序启动早期MsMpEng.exe反恶意软件服务可执行文件服务启动SecurityHealthSystray.exe安全中心托盘图标进程用户登录防护层级分析Windows Defender 的防护机制分为四个主要层级服务层- WinDefend 服务控制驱动程序层- 文件系统过滤器和启动保护注册表层- 组策略和安全设置用户界面层- 安全中心界面控制TrustedInstaller 权限提升技术Defender Control 的核心创新在于其权限提升机制。由于 Windows Defender 的关键组件受 TrustedInstaller 权限保护普通管理员账户也无法修改相关设置。权限提升实现原理工具采用两种权限提升策略// 主要方法通过任务计划程序获取 TrustedInstaller 权限 // 在 trusted.cpp 中实现 bool elevate_via_task_scheduler() { // 创建任务计划程序任务以 TrustedInstaller 身份运行 // 这是最干净的权限提升方式 } // 备用方法令牌窃取技术 bool elevate_via_token_stealing() { // 从现有 TrustedInstaller 进程中窃取令牌 // 作为任务计划程序不可用时的回退方案 }权限提升流程图Defender Control 权限提升流程展示展示了从普通管理员权限到 TrustedInstaller 权限的转换过程多层级防护禁用策略Defender Control 通过系统化的方法禁用 Windows Defender确保禁用效果持久且完整。1. 注册表策略修改工具修改多个关键注册表路径包括HKLM\SOFTWARE\Policies\Microsoft\Windows DefenderHKLM\SYSTEM\CurrentControlSet\Services\WinDefendHKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection关键的注册表值修改包括// 禁用实时监控 RegSetValueExW(hKey, LDisableRealtimeMonitoring, 0, REG_DWORD, (const BYTE*)dwValue, sizeof(dwValue)); // 禁用反间谍软件 RegSetValueExW(hKey, LDisableAntiSpyware, 0, REG_DWORD, (const BYTE*)dwValue, sizeof(dwValue)); // 修改服务启动类型 RegSetValueExW(hKey, LStart, 0, REG_DWORD, (const BYTE*)dwDisabled, sizeof(dwDisabled));2. 系统文件重命名策略通过重命名关键系统文件来阻止 Defender 启动// 在 dcontrol.cpp 中实现的二进制文件软删除 void dcontrol::soft_delete_binaries() { // 重命名 Defender 驱动程序 rename_file(LC:\\Windows\\System32\\drivers\\WdFilter.sys, LC:\\Windows\\System32\\drivers\\WdFilter.sys.OLD); // 重命名其他关键文件 rename_file(LC:\\Windows\\System32\\drivers\\WdBoot.sys, LC:\\Windows\\System32\\drivers\\WdBoot.sys.OLD); // 保存恢复清单 save_restore_manifest(); }3. 服务控制机制Defender Control 通过多种方式控制 Defender 相关服务// 停止 WinDefend 服务 bool dcontrol::manage_windefend(bool enable) { SC_HANDLE scManager OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS); SC_HANDLE service OpenService(scManager, LWinDefend, SERVICE_ALL_ACCESS); if (enable) { StartService(service, 0, NULL); } else { ControlService(service, SERVICE_CONTROL_STOP, status); } CloseServiceHandle(service); CloseServiceHandle(scManager); }技术实现深度解析WMI 接口操作Defender Control 通过 Windows Management Instrumentation (WMI) 与 Defender 交互// 在 wmic.cpp 中实现的 WMI 操作 bool wmic::set_mppreference(const std::wstring property, int value) { // 连接到 WMI 命名空间 hres pLoc-ConnectServer( _bstr_t(LROOT\\Microsoft\\Windows\\Defender), NULL, NULL, 0, NULL, 0, 0, pSvc); // 设置 MpPreference 属性 hres pClass-Put(property.c_str(), 0, var, 0); hres pSvc-PutInstance(pClass, WBEM_FLAG_UPDATE_ONLY, NULL, NULL); }篡改保护绕过技术Windows 11 引入了更强的篡改保护机制Defender Control 通过以下方式绕过先关闭篡改保护- 通过用户界面或注册表修改权限提升- 获取 TrustedInstaller 权限内核级操作- 直接操作受保护的注册表项恢复机制设计工具设计了完整的恢复机制确保可以随时恢复系统默认设置// 恢复二进制文件 void dcontrol::restore_binaries() { // 从恢复清单读取原始文件名 std::vectorrestore_entry entries load_restore_manifest(); // 恢复每个文件 for (const auto entry : entries) { rename_file(entry.new_path.c_str(), entry.original_path.c_str()); } // 恢复文件所有权 restore_file_ownership(); }实际应用场景分析场景1开发测试环境在软件开发测试环境中Windows Defender 可能会误报自定义构建工具为恶意软件干扰调试器和性能分析工具影响自动化测试流程Defender Control 提供了临时禁用方案# 临时禁用 Defender 进行测试 disable-defender.exe # 运行测试套件 run_tests.bat # 恢复 Defender 防护 enable-defender.exe场景2性能敏感应用对于需要最大化系统性能的应用如游戏、实时音频处理、科学计算Defender 的实时扫描会消耗 CPU 和 I/O 资源文件系统过滤器会增加文件访问延迟内存扫描可能影响应用性能场景3系统故障排除当 Windows Defender 出现故障或冲突时Defender 服务崩溃导致系统不稳定与其他安全软件冲突错误检测导致正常文件被隔离高级配置与自定义编译配置选项在src/defender-control/settings.hpp中可以自定义构建行为// 构建类型配置 #define DEFENDER_ENABLE 1 #define DEFENDER_DISABLE 2 #define DEFENDER_CONFIG DEFENDER_DISABLE // 或 DEFENDER_ENABLE // 调试信息输出 #define DBG_MSG (1 0)模块化架构Defender Control 采用模块化设计便于扩展和维护src/defender-control/ ├── dcontrol.cpp # 主控制逻辑 ├── dcontrol.hpp # 接口定义 ├── reg.cpp # 注册表操作 ├── trusted.cpp # 权限提升 ├── util.cpp # 工具函数 ├── wmic.cpp # WMI 接口 └── settings.hpp # 配置设置安全性与风险控制安全考虑开源透明- 所有代码公开可审查权限最小化- 仅在需要时提升权限操作可逆- 完整的恢复机制错误处理- 完善的异常处理风险缓解策略风险类型缓解措施恢复方法系统不稳定操作前创建系统还原点使用系统还原安全漏洞操作后及时恢复防护运行 enable-defender.exe文件损坏备份原始文件恢复清单自动恢复权限问题使用 TrustedInstaller 权限重新获取权限最佳实践建议操作前备份- 创建系统还原点临时禁用- 仅在必要时禁用完成后立即恢复权限验证- 确保以管理员身份运行系统兼容性- 确认 Windows 版本支持故障排除与调试常见问题解决方案问题1权限不足错误症状ERROR_ACCESS_DENIED (5)或类似错误解决方案# 1. 确保以管理员身份运行 右键点击程序 → 以管理员身份运行 # 2. 检查篡改保护状态 # 打开 Windows 安全中心 → 病毒和威胁防护 → 管理设置 # 关闭篡改保护 # 3. 临时关闭实时保护 # 在同一位置暂时关闭实时保护问题2Defender 重新激活症状Windows 更新后 Defender 重新启用解决方案重新运行 Defender Control 禁用工具检查组策略设置是否被重置验证服务启动类型是否被修改问题3文件恢复失败症状.OLD文件无法恢复解决方案# 手动恢复文件所有权 takeown /f C:\Windows\System32\drivers\WdFilter.sys.OLD icacls C:\Windows\System32\drivers\WdFilter.sys.OLD /grant administrators:F ren C:\Windows\System32\drivers\WdFilter.sys.OLD WdFilter.sys调试信息收集Defender Control 支持调试信息输出// 启用调试信息 #define DBG_MSG (1 0) // 在代码中添加调试输出 if (flags DBG_MSG) { printf([DEBUG] 正在修改注册表: %ls\n, key_path); }技术研究与参考资料逆向工程分析在archive/research.md中包含了详细的逆向工程分析揭示了 Windows Defender 的内部工作机制注册表键值分析- 识别了所有关键的 Defender 配置项API 调用追踪- 通过钩子技术追踪系统调用权限提升研究- TrustedInstaller 权限获取方法拦截技术研究archive/detour/目录包含了拦截技术的研究资料包括64位和32位系统的拦截库系统调用钩子实现调试和日志记录工具内存转储分析archive/dumper/目录提供了内存转储工具用于分析 Defender 进程的内存状态。性能影响分析资源占用对比操作类型CPU 使用率内存占用磁盘 I/ODefender 启用2-5%100-200MB中等Defender 禁用0%0MB无工具运行1% (短暂)10MB低启动时间影响Windows Defender 对系统启动时间的影响启用时增加 3-5 秒启动时间禁用时启动时间恢复正常恢复时需要一次重启生效兼容性矩阵Windows 版本支持Windows 版本支持状态注意事项Windows 10 20H2完全支持推荐版本Windows 11 21H2支持需要关闭篡改保护Windows Server部分支持需要调整安全策略旧版 Windows 10有限支持可能需要调整安全软件兼容性Defender Control 与第三方安全软件的交互独立运行- 不依赖其他安全软件冲突避免- 建议暂时禁用其他安全软件恢复兼容- 恢复后不影响其他软件未来发展方向技术改进计划更细粒度的控制- 支持单独禁用特定功能策略模板- 预定义的安全策略配置远程管理- 企业环境中的集中管理自动化脚本- PowerShell 模块支持社区贡献指南项目欢迎开发者贡献代码主要贡献方向新功能开发- 支持新版本 Windows 特性Bug 修复- 解决兼容性问题文档完善- 技术文档和使用指南测试用例- 自动化测试覆盖总结Defender Control 通过深入理解 Windows Defender 的架构和防护机制实现了对系统安全组件的精细控制。其创新的权限提升技术、多层次的防护禁用策略和完整的恢复机制为高级用户和开发者提供了强大的系统管理工具。关键技术创新TrustedInstaller 权限提升技术多层级防护禁用策略完整的恢复机制设计开源透明的代码实现适用场景开发测试环境配置性能敏感应用优化系统故障排除安全研究分析安全建议仅在必要时使用操作前创建系统备份完成后及时恢复防护定期更新工具版本通过合理使用 Defender Control用户可以在保证系统安全的前提下获得对 Windows Defender 的完全控制权满足特定的技术需求和应用场景。【免费下载链接】defender-controlAn open-source windows defender manager. Now you can disable windows defender permanently.项目地址: https://gitcode.com/gh_mirrors/de/defender-control创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考