![图片[1]-【与Windows Defender斗智斗勇】禁用Windows Defender杀毒软件?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/08/20220822135718315-1024x573.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
视频讲解
针对禁用Windows Defender杀毒软件究竟好不好,视频中作者给出了与下文中《Disable Win Defender》不同的观点,并通过创建低权限的非管理员账户,尝试模拟攻击者入侵后的操作,结果发现都被Windows Defender成功拦截了!你对此有何看法?也欢迎在评论区里留言
相关阅读
视频中的原文《Disable Win Defender》其中分享了一些禁用Windows Defender的小技巧,仅供参考(建议用于虚拟机)
原文:
Windows Defender可能会大量消耗系统性能,而且经常会有很多误报。虽然我推荐大多数人使用反病毒软件,但我不喜欢在不用于网络浏览的系统上启用它。
Windows Defender的安全性如何
我经常听到并使用 “Windows Defender已经很好了 “这句话,但常常被误认为Defender是一个好的反病毒软件。就检测率而言,它是好的,但就保护而言,它不是! 为什么?任何有一点知识的人都知道如何在用户不知不觉中禁用它。服务、注册表项和内置的windows策略都是为了使管理员能够很容易地禁用它。为什么微软让它如此容易被禁用?很简单,商业环境中的Windows从来不使用防御者,管理员需要禁用它。
禁用Windows Defender的方法有哪些?
有许多方法可以禁用Windows Defender或使其失去作用。大多数经过适当编程的病毒会利用下面这些方法中的一种或多种。
Windows设置
关掉篡改保护和实时监控。
![图片[2]-【与Windows Defender斗智斗勇】禁用Windows Defender杀毒软件?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/08/20220822134345207.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
修改注册表
有这么多的注册表设置,但要关注的主要是以下这些。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features]
"MpPlatformKillbitsFromEngine"=hex:00,00,00,00,00,00,00,00
"TamperProtectionSource"=dword:00000000
"MpCapability"=hex:00,00,00,00,00,00,00,00
"TamperProtection"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"PUAProtection"=dword:00000000
"DisableRoutinelyTakingAction"=dword:00000001
"ServiceKeepAlive"=dword:00000000
"AllowFastServiceStartup"=dword:00000000
"DisableLocalAdminMerge"=dword:00000001
"DisableAntiSpyware"=dword:00000001
"RandomizeScheduleTaskTimes"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware]
"ServiceKeepAlive"=dword:00000000
"AllowFastServiceStartup"=dword:00000000
"DisableRoutinelyTakingAction"=dword:00000001
"DisableAntiSpyware"=dword:00000001
"DisableAntiVirus"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableRealtimeMonitoring"=dword:00000001
"DisableBehaviorMonitoring"=dword:00000001
"DisableOnAccessProtection"=dword:00000001
"DisableScanOnRealtimeEnable"=dword:00000001
"DisableIOAVProtection"=dword:00000001
"LocalSettingOverrideDisableOnAccessProtection"=dword:00000000
"LocalSettingOverrideRealtimeScanDirection"=dword:00000000
"LocalSettingOverrideDisableIOAVProtection"=dword:00000000
"LocalSettingOverrideDisableBehaviorMonitoring"=dword:00000000
"LocalSettingOverrideDisableIntrusionPreventionSystem"=dword:00000000
"LocalSettingOverrideDisableRealtimeMonitoring"=dword:00000000
"RealtimeScanDirection"=dword:00000002
"IOAVMaxSize"=dword:00000512
"DisableInformationProtectionControl"=dword:00000001
"DisableIntrusionPreventionSystem"=dword:00000001
"DisableRawWriteNotification"=dword:00000001如需更全面的清单,请查阅。
https://christitus.com/files/windefender_disable.reg
禁用服务
Windows Defender使用和依赖的服务列表
- WdNisSvc
- WdNisDrv
- WdFilter
- WdBoot
- wcncsvc
删除文件(方法过于暴力)
有大量的Windows Defender的程序文件和日志,位于C:\Program Files\Windows Defender
通过Powershell
Twitter上的@Chris Titus Tech分享了下面的方法,👉原文入口
![图片[3]-【与Windows Defender斗智斗勇】禁用Windows Defender杀毒软件?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/08/20220822134758375-1024x315.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
我们可以通过Set-MpPreference的方式禁用一些服务。
GitHub项目 – 慎用!
下面是几个GitHub项目,它们会彻底摧毁Defender,如果使用不当,甚至可以用来向系统发送病毒Payload
- 最新
- 最热
只看作者