一点关于主流卸载Windows Defender / Microsoft Defender方式的分析

显示全部楼层 · 发表于 2023-3-4 19:03:14

本帖最后由 ANY.LNK 于 2023-3-4 19:03 编辑

包括之前流传甚久的install_wim_tweak工具和其他第三方卸载工具，这些工具基本都是调用系统自带的Dism映像部署工具进行卸载的。大致逻辑如下：

1.从HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\寻找所有包含*Windows-Defender*条目

2.通过该路径获取所有Windows Defender的包的名称并使用DISM命令从当前操作系统中移除（示例：Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-AM-Default-Definitions-OptionalWrapper-Package~31bf3856ad364e35~amd64~~10.0.22621.1）

3.删除相关注册表项

就我的测试而言：

微软拦截了以下几条命令后就不会受到恶意的卸载攻击威胁

CmdLine: C:\Windows\System32\Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-AM-Default-Definitions-OptionalWrapper-Package~31bf3856ad364e35~amd64~~10.0.22621.1
CmdLine: C:\Windows\System32\Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-Group-Policy-Package~31bf3856ad364e35~amd64~zh-CN~10.0.22621.1
CmdLine: C:\Windows\System32\Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-Group-Policy-Package~31bf3856ad364e35~amd64~~10.0.22621.1

复制代码

这为那些卸载了Defender又反悔的用户提供了一种新的恢复思路。我目前正在尝试以此找出恢复Defender的方法

备注：Dism++疑似是通过直接调用相关API而非Dism.exe

显示全部楼层 · 发表于 2023-3-5 06:52:12

我认为吧，还是不要卸载，不喜欢用别的杀软，md就自动关闭，然后可以手动关闭md的扫描

显示全部楼层 · 发表于 2023-3-5 10:36:21

风林12刀发表于 2023-3-5 06:52
我认为吧，还是不要卸载，不喜欢用别的杀软，md就自动关闭，然后可以手动关闭md的扫描

的确，但还是有人选择了卸载。

以及，最近我测试发现这些调用Dism的并不能真正的卸载，一番折腾完后Defender的进程仍然在后台运行，但却有概率把Windows安全中心的UI搞坏，使得既没有达到停止Defender的目的，也没有办法进行下一步的操作了

目前我还没有找到恢复的方法，使用Dism重新部署显示找不到文件，看目录总觉得需要有效的外部介质介入

显示全部楼层 · 发表于 2023-3-5 10:40:42

WIndows11之后就不建议卸载Defender了。

显示全部楼层 · 发表于 2023-3-5 10:46:48

GreatMOLA 发表于 2023-3-5 10:40
WIndows11之后就不建议卸载Defender了。

不过总是有人想试试，最后搞坏了还得上网求助，目前也没有解决办法

显示全部楼层 · 发表于 2023-3-5 10:49:37

ANY.LNK 发表于 2023-3-5 10:46
不过总是有人想试试，最后搞坏了还得上网求助，目前也没有解决办法

正常，不是所有人都知道强行卸载的后果。

Windows10其实还是有办法卸载的；但是到了Windows11之后强行卸载只会损坏操作系统。

显示全部楼层 · 发表于 2023-3-5 14:46:53

ANY.LNK 发表于 2023-3-5 10:36
的确，但还是有人选择了卸载。

以及，最近我测试发现这些调用Dism的并不能真正的卸载，一番折腾完后De ...

可是呢，如果win11 defender卸载了，操作系统会出点问题

显示全部楼层 · 发表于 2023-3-5 15:02:05

还有些：

你的“病毒与威胁防护”由你的组织管理
此设置由管理员进行管理
你正使用其他防病毒提供程序
页面不可用，你的IT管理员已经限制对此应用一些区域的访问，你尝试访问的项目不可用。有关详细信息，请与你的IT支持人员联系

显示全部楼层 · 发表于 2023-3-5 15:05:26

ANY.LNK 发表于 2023-3-5 10:36
的确，但还是有人选择了卸载。

以及，最近我测试发现这些调用Dism的并不能真正的卸载，一番折腾完后De ...

还有这种工具，不知道原理是什么：

显示全部楼层 · 发表于 2023-3-5 19:38:37

本帖最后由喀反于 2023-3-5 19:42 编辑

wwwab 发表于 2023-3-5 15:05
还有这种工具，不知道原理是什么：

运行这个工具后，被WD拦截到修改注册表的操作

不同网站下载的报毒名称还不一样

[技术探讨] 一点关于主流卸载Windows Defender / Microsoft Defender方式的分析

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源