安全研究人員 Arsenii es3n1n 發布了一款名為 Defendnot 的安全工具，該實驗性程序通過 Windows 安全中心（WSC, Windows Security Center）直接注冊為殺毒軟件，從而禁用 Windows Defender。

突破性技術實現方式

雖然安全研究人員長期研究如何與 Defender 交互或繞過其防護，但 Defendnot 采用了全新方法：直接與 WSC API 通信。該 API 未公開文檔，需與微軟簽署保密協議（NDA, Non-Disclosure Agreement）才能獲取官方文檔。

Defendnot 的核心原理是利用 Windows 安全中心服務。WSC 作為 Windows 的核心組件，允許殺毒軟件向操作系統注冊自身。這種注冊會通知 Windows 系統已存在替代殺毒方案，從而自動禁用 Windows Defender 以避免沖突。

與傳統方法的差異

此前通過編程方式禁用 Windows Defender 的嘗試（如 "no-defender" 工具）依賴于"其他殺毒軟件提供的第三方代碼在 WSC 中注冊自身"。相比之下，"Defendnot 直接與 WSC 交互"，采用了更直接的處理方式。

圖片來源：es3n1n

工具使用限制

但 Defendnot 存在一個限制：為確保系統重啟后 Windows Defender 仍保持禁用狀態，"Defendnot 會將自己添加到開機自啟動項"。這意味著"Defendnot 的二進制文件"必須保留在用戶磁盤上。

Arsenii 的完整技術說明詳細闡述了該機制，并在 GitHub 上提供了可用的概念驗證（PoC, Proof of Concept）。該工具嚴格限于研究和教育用途，不得用于生產環境或攻擊場景。