原创 Paper | 通过杀软 avast 及 no-defender 工具分析 Windows 防护机制

文章预览

作者： 知道创宇404实验室 时间： 2024年9月4日  1 前言 参考资料 近几年随着 Windows 越来越重视系统安全，Windows Defender 已经从最开始的杀毒软件发展为如今的端点检测和响应软件(EDR)，并成为 Windows 安全体系的一部分；从系统安全的角度来看，Windows 不建议用户关闭或停用 Defender；从安全研究的角度来看，由于 Defender 提供的默认关闭策略无法完全停止该软件运行，可以说的上是 Windows 「不允许」用户关闭 Defender，这常常就会阻碍和影响对恶意软件的调试分析。 2024年6月，安全研究员 es3n1n 在 Github 分享了开源工具 no-defender，其利用 Windows 安全防护的第三方杀毒软件接管机制，通过逆向分析 Avast 杀毒软件提取出关键组件，编写 hook 代码修改关键组件的执行逻辑，从而实现完全关闭 Defender 软件。 本文将结合 no-defender 源码和 Avast 杀毒软件，研究学习 no-d ………………………………