查看: 13038|回复: 10
收起左侧

[技术探讨] 一点关于主流卸载Windows Defender / Microsoft Defender方式的分析

[复制链接]
ANY.LNK
发表于 2023-3-4 19:03:14 | 显示全部楼层 |阅读模式
本帖最后由 ANY.LNK 于 2023-3-4 19:03 编辑

包括之前流传甚久的install_wim_tweak工具和其他第三方卸载工具,这些工具基本都是调用系统自带的Dism映像部署工具进行卸载的。大致逻辑如下:

1.从HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\寻找所有包含*Windows-Defender*条目

2.通过该路径获取所有Windows Defender的包的名称并使用DISM命令从当前操作系统中移除(示例:Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-AM-Default-Definitions-OptionalWrapper-Package~31bf3856ad364e35~amd64~~10.0.22621.1)

3.删除相关注册表项

就我的测试而言:

微软拦截了以下几条命令后就不会受到恶意的卸载攻击威胁
  1. CmdLine: C:\Windows\System32\Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-AM-Default-Definitions-OptionalWrapper-Package~31bf3856ad364e35~amd64~~10.0.22621.1
  2. CmdLine: C:\Windows\System32\Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-Group-Policy-Package~31bf3856ad364e35~amd64~zh-CN~10.0.22621.1
  3. CmdLine: C:\Windows\System32\Dism.exe /online /quiet /norestart /remove-package /packagename:Windows-Defender-Group-Policy-Package~31bf3856ad364e35~amd64~~10.0.22621.1
复制代码

这为那些卸载了Defender又反悔的用户提供了一种新的恢复思路。我目前正在尝试以此找出恢复Defender的方法

备注:Dism++疑似是通过直接调用相关API而非Dism.exe

评分

参与人数 1人气 +3 收起 理由
曲中求 + 3 л

查看全部评分

风林12刀
发表于 2023-3-5 06:52:12 | 显示全部楼层
我认为吧,还是不要卸载,不喜欢用别的杀软,md就自动关闭,然后可以手动关闭md的扫描
ANY.LNK
 楼主| 发表于 2023-3-5 10:36:21 | 显示全部楼层
风林12刀 发表于 2023-3-5 06:52
我认为吧,还是不要卸载,不喜欢用别的杀软,md就自动关闭,然后可以手动关闭md的扫描

的确,但还是有人选择了卸载。

以及,最近我测试发现这些调用Dism的并不能真正的卸载,一番折腾完后Defender的进程仍然在后台运行,但却有概率把Windows安全中心的UI搞坏,使得既没有达到停止Defender的目的,也没有办法进行下一步的操作了

目前我还没有找到恢复的方法,使用Dism重新部署显示找不到文件,看目录总觉得需要有效的外部介质介入
GreatMOLA
发表于 2023-3-5 10:40:42 | 显示全部楼层
WIndows11之后就不建议卸载Defender了。
ANY.LNK
 楼主| 发表于 2023-3-5 10:46:48 | 显示全部楼层
GreatMOLA 发表于 2023-3-5 10:40
WIndows11之后就不建议卸载Defender了。

不过总是有人想试试,最后搞坏了还得上网求助,目前也没有解决办法
GreatMOLA
发表于 2023-3-5 10:49:37 | 显示全部楼层
ANY.LNK 发表于 2023-3-5 10:46
不过总是有人想试试,最后搞坏了还得上网求助,目前也没有解决办法

正常,不是所有人都知道强行卸载的后果。
Windows10其实还是有办法卸载的;但是到了Windows11之后强行卸载只会损坏操作系统。

评分

参与人数 1人气 +1 收起 理由
ANY.LNK + 1 的确

查看全部评分

风林12刀
发表于 2023-3-5 14:46:53 | 显示全部楼层
ANY.LNK 发表于 2023-3-5 10:36
的确,但还是有人选择了卸载。

以及,最近我测试发现这些调用Dism的并不能真正的卸载,一番折腾完后De ...

可是呢,如果win11 defender卸载了,操作系统会出点问题
wwwab
发表于 2023-3-5 15:02:05 | 显示全部楼层
还有些:

你的“病毒与威胁防护”由你的组织管理
此设置由管理员进行管理
你正使用其他防病毒提供程序
页面不可用,你的IT管理员已经限制对此应用一些区域的访问,你尝试访问的项目不可用。有关详细信息,请与你的IT支持人员联系
wwwab
发表于 2023-3-5 15:05:26 | 显示全部楼层
ANY.LNK 发表于 2023-3-5 10:36
的确,但还是有人选择了卸载。

以及,最近我测试发现这些调用Dism的并不能真正的卸载,一番折腾完后De ...

还有这种工具,不知道原理是什么:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
喀反
发表于 2023-3-5 19:38:37 | 显示全部楼层
本帖最后由 喀反 于 2023-3-5 19:42 编辑
wwwab 发表于 2023-3-5 15:05
还有这种工具,不知道原理是什么:

运行这个工具后,被WD拦截到修改注册表的操作


不同网站下载的报毒名称还不一样

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:14 , Processed in 0.133295 second(s), 23 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表