|
众所周知当我们在系统安装了其他杀软时会自动接管并禁用Windows Defender防护,工具作者@es3n1n利用该特性逆向了该过程并进行了武器化。
工具介绍 禁用 Windows Defender + 防火墙的一种稍微有趣的方法。Windows 中有一个 WSC(Windows 安全中心)服务,防病毒软件会使用该服务让 Windows 知道系统中还有其他防病毒软件,并且应该禁用 Windows Defender。
此 WSC API 未记录,而且需要人们与 Microsoft 签署保密协议才能获取其文档,因此我决定采取一种有趣的方法,并使用了一款名为 Avast 的现有防病毒软件,此 AV 引擎包含一个所谓的 wsc_proxy.exe 服务,它本质上为 Avast 设置了 WSC API。
工具用法 Usage: no-defender-loader [--help] [--version] [--disable] [--firewall] [--av] [--name VAR]
Optional arguments:
-h, --help shows help message and exits
-v, --version prints version information and exits
--disable re-enable firewall/defender --firewall disable the firewall
--av disable the defender
--name av name [default: ""]
| 
发表于 2024-6-12 14:35:20