[C/C++] defendnot工具详解：通过注册虚拟杀毒软件禁用Windows Defender实战

工具核心功能与原理

defendnot是一款开源工具，其核心原理在于直接调用 Windows 安全中心（WSC）API，通过注册一个虚拟杀毒软件，诱导系统自动禁用 Windows Defender 的实时防护服务。具体机制如下：

1. WSC 交互机制
   Windows 安全中心（WSC）服务允许第三方杀毒软件向系统注册自身。当系统检测到其他杀毒软件的存在时，为避免冲突，会自动停用 Windows Defender。defendnot 正是利用这一官方机制，绕过用户界面，直接与 WSC API 通信，注册一个虚拟的“杀毒软件”，从而触发 Defender 的自动禁用逻辑。

2. 持久化设计
   为确保系统重启后 Defender 仍保持禁用状态，defendnot 会将自己添加为开机自启动项。这也意味着，工具的二进制文件需要长期保留在磁盘上，否则重启后功能会失效。

3. 对比前代优化
   相较于早期的类似工具（如no-defender），defendnot 摒弃了依赖第三方杀毒软件代码库进行注册的复杂方式，直接与 WSC 交互。这种方法减少了兼容性问题，并且更加隐蔽。

部署安装步骤

1. 依赖准备

• Python 3.x：确保系统已安装Python环境。
• Git：用于从 GitHub 克隆项目代码。

2. 克隆项目

打开终端（Windows 用户推荐使用 PowerShell 或 CMD），执行以下命令：

git clone https://github.com/es3n1n/defendnot.git
cd defendnot

3. 安装依赖

检查项目目录下是否存在requirements.txt文件。若存在，运行以下命令安装依赖：

pip install -r requirements.txt

若无此文件，则需手动安装项目所需的依赖库，或直接参考项目README中的说明。

4. 运行工具

在项目目录下找到主程序文件（通常为.py扩展名），执行：

python defendnot.py

或直接通过 PowerShell 使用官方提供的一键安装脚本（需要管理员权限）：

# 示例1：基础安装
irm https://dnot.sh/ | iex

# 示例2：自定义虚拟杀毒软件名称
&([ScriptBlock]::Create((irm https://dnot.sh/))) --name "Custom AV Name"

# 示例3：静默安装（无控制台窗口）
&([ScriptBlock]::Create((irm https://dnot.sh/))) --silent

5. 验证效果

• 打开 Windows 安全中心，检查 Defender 的实时防护状态是否显示为“关闭”。
• 尝试手动开启 Defender，如果系统提示“其他杀毒软件已接管安全中心”，则表明 defendnot 已成功生效。

开源地址与文档

1. GitHub 主仓库
   • 地址：https://github.com/es3n1n/defendnot
   • 功能：完整的源代码、版本更新日志、问题反馈（Issues）。

2. GitHub 镜像站（备用）
   • 地址：https://gitcode.com/gh_mirrors/de/defendnot
   • 适用场景：当 GitHub 访问受限时，可使用此镜像站。

3. 官方文档（README）
   • 地址：https://github.com/es3n1n/defendnot/blob/master/README.md
   • 内容：详细的使用说明、所有命令行参数、以及重要的限制说明（例如不支持 Windows Server 版本）。

4. 一键安装脚本源
   • 地址：https://raw.githubusercontent.com/es3n1n/defendnot/refs/heads/master/install.ps1
   • 用途：上述 PowerShell 脚本直接调用的源文件。

工具优势与局限性

优势

1. 高效性：直接与 WSC 交互，能够绕过 Defender 自身的部分保护机制，禁用成功率很高。
2. 持久化：通过添加自启动项，确保了系统重启后配置依然有效，无需重复操作。
3. 开源透明：代码完全公开，可供社区审计，降低了潜在的后门风险。

局限性

1. 依赖磁盘文件：工具本体需要持久保留在磁盘上，删除或移动会导致功能失效。
2. 不支持 Windows Server：因为 Windows Server 版本通常不包含 WSC 服务，所以工具无法在此类系统上运行。
3. 可能被误报：部分第三方杀毒软件或 Windows Defender 自身（在禁用前）可能会将 defendnot 识别为潜在风险程序（例如报毒名VirTool:Win64/Defnot.A）。执行前可能需要临时关闭实时防护或将其添加到白名单。

使用场景与风险提示

适用场景

• 开发与调试：在进行某些软件测试或逆向工程时，为避免 Defender 误删关键测试文件或样本。
• 批量系统管理：对于需要统一管理多台计算机 Defender 状态的运维人员。
• 安全研究：用于分析 Windows Defender 的防护机制或测试相关的绕过技术。

风险提示

1. 法律合规性：
   本工具仅限于合法的研究、测试和教育用途。严禁将其用于恶意软件分发、网络攻击或其他任何非法活动，用户需对自身行为承担全部法律责任。

2. 系统安全：
   禁用 Windows Defender 后，系统将失去一道重要的默认安全防线。用户应当立即安装并启用可靠的第三方杀毒软件（如火绒、360国际版等），或采取其他等效的安全防护措施。

3. 操作风险：
   修改系统核心安全设置存在一定风险，可能导致系统不稳定。建议在操作前备份重要数据，或为系统创建还原点。

替代方案对比

工具名称	原理	持久化	适用版本	风险等级
defendnot	注册虚拟杀毒软件至 WSC	是	Windows 10/11	中
Defender Control	调用系统API临时关闭Defender	否	Windows 10/11	低
组策略编辑器	修改系统策略永久禁用Defender	是	专业版/企业版	低
注册表编辑	直接修改相关注册表键值	是	所有版本	高

推荐选择：
• 普通用户/临时需求：使用 Defender Control，操作简单且无文件残留。
• 高级用户/需持久生效：选择 defendnot，持久化且兼容性较好。
• 企业环境/集中管理：通过组策略或注册表进行统一配置和管理。