近日,一个名为“No Defener”的项目在GitHub上爆火,能永久关闭微软的Windows Defender杀毒软件和防火墙,这引起了网络安全研究人员的广泛关注。

CERT高级漏洞分析师Will Dormann指出,该工具模仿了第三方杀毒软件禁用微软Defender的方法,从而让自己的程序无干扰地运行。

“No Defener”项目的开发者“es3n1n”透露,他逆向工程了杀毒软件用来禁用Windows Defender的API。

es3n1n指出,Windows有一个被杀毒软件用来通知系统有其他杀毒软件运行的Windows安全中心(WSC)服务。这个WSC API是不公开的,要获得其文档需要与微软签署保密协议。Es3n1n通过逆向工程Avast杀毒软件中的一个名为wsc_proxy.exe的服务,使之为Avast设置WSC API,进而改造这个服务以插入自己的代码。

值得注意的是,为了让WSC设置在重启后依然有效,“No Defener”将自己(实际上是Avast的模块)添加到自启动项,因此需要在磁盘上保留“NoDefener”的二进制文件。

安全研究者和测试人员经常在研究和测试过程中关闭微软操作系统的安全防护,因此类似“NoDefener”的工具也有其合法用途。然而,正如Dormann指出的,运行“No Defender”工具需要管理员权限,这也为Windows用户提供了另一个不以管理员身份运行Windows系统的理由。如果不以管理员身份登录Windows,用户就不必过于担心(该工具被恶意使用)。

一位匿名安全人士人为,“No Defener”暴露的是Avast而非微软的漏洞,因为它需要一个签名级别为AuthentiCode SigningLevel 7的可执行文件。这更像是Avastwsc_proxy.exe组件的一个漏洞,它允许不受信任或未签名的代码与之交互。

Dormann认为:“No Defener工具本质上是一次规则突破而非漏洞。它允许拥有管理员权限的用户执行管理员操作,包括重新配置他们所在的系统,甚至是内核级别的访问。”

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。