【冰盾】DefenderGuard —— Microsoft Defender 自保增强规则

显示全部楼层 · 发表于 2025-12-31 14:23:28

本帖最后由 Loyisa 于 2025-12-31 21:13 编辑

最近发现MD自带的篡改保护并没有覆盖到所有的设置（例如云提供的保护、网络保护、等等等等），拿到了UAC之后还是能改
研究了一下powershell的Set-MpPreference调整MD设置，发现到最后还是直接去修改注册表
于是用冰盾搓了个增强Defender自保的规则，无需专业版
本规则只覆盖开启篡改保护后仍然能被修改的设置，所以不要问为什么有的设置没覆盖到

注：冰盾已经自带了添加MD排除列表和防火墙的规则，请不要忘记开启那两个规则

如果有漏掉的设置，欢迎反馈~

规则:

更新日志:

2025/12/31
初次发布

复制代码

显示全部楼层 · 发表于 2025-12-31 20:45:24

很好，谢谢分享

显示全部楼层 · 发表于 2026-1-2 10:59:00

怎么不写高级模板

显示全部楼层 · 发表于 2026-1-2 11:00:37

本帖最后由桔梗想见雪于 2026-1-2 11:06 编辑

你的是defender ui Pro么，在最后一个页面，里面有一个叫什么WDAC策略的功能，好像需要开启应用控制才行，好像挺好玩的，你有研究过么

显示全部楼层 · 发表于 2026-1-2 11:47:12

桔梗想见雪发表于 2026-1-2 10:59
怎么不写高级模板

本来是想用高级模版拦截powershell+注册表的，但是冰盾的powershell amsi依赖增强防御
增强防御开起来又太卡了，最后就这样了

显示全部楼层 · 发表于 2026-1-2 11:56:11

Loyisa 发表于 2026-1-2 11:47
本来是想用高级模版拦截powershell+注册表的，但是冰盾的powershell amsi依赖增强防御
增强防御开起来又 ...

大佬快写，没事滴

显示全部楼层 · 发表于 2026-1-2 14:31:12

桔梗想见雪发表于 2026-1-2 11:56
大佬快写，没事滴

没事写了也有调用WMI接口的能对抗不如直接抓注册表再配冰盾自带的调用方跟踪完事（

显示全部楼层 · 发表于 2026-1-2 16:47:02

隔山打空气发表于 2026-1-2 14:31
没事写了也有调用WMI接口的能对抗不如直接抓注册表再配冰盾自带的调用方跟踪完事（

写点冰盾规则分享给广大用户们使用

显示全部楼层 · 发表于 2026-1-3 14:44:00

本帖最后由 Komeiji-Reimu 于 2026-1-3 14:45 编辑

Loyisa 发表于 2026-1-2 11:47
本来是想用高级模版拦截powershell+注册表的，但是冰盾的powershell amsi依赖增强防御
增强防御开起来又 ...

不是吧，我之前问过，amsi和进程保护应该都不依赖增强防御。你说卡我想起来了，之前有个版本冰盾给C:\Windows\System32\NgcIso.exe注入了，那真是卡的批爆，cpu时刻40多，不过后来好像修了

显示全部楼层 · 发表于 2026-1-3 15:09:03

Komeiji-Reimu 发表于 2026-1-3 14:44
不是吧，我之前问过，amsi和进程保护应该都不依赖增强防御。你说卡我想起来了，之前有个版本冰盾给C:\Win ...

amsi依赖的，昨天邮件问过

[分享] 【冰盾】DefenderGuard —— Microsoft Defender 自保增强规则

本帖子中包含更多资源

评分

本帖被以下淘专辑推荐:

浏览过的版块