收拾一些微软自带的默认安全措施全家桶,一撸到底,给我爬
其实这部分内容在以前文章零零散散有所体现,这次聚合一下,这篇文章会持续常驻更新
文中的所有资源都整理放在一起了,下载地址:
真神降临: windows-defender-remover
- 移除/临时屏蔽 Windows 安全中心、Windows Defender 全家桶、基于 Windows 虚拟化的安全性 (VBS)、Windows SmartScreen、Windows 安全服务、Windows Web 威胁服务、Windows 文件虚拟化 (UAC)、Microsoft Defender App Guard、Microsoft 驱动程序阻止列表、禁用 Spectre(幽灵) 和 Meltdown(熔断) 缓解措施(KB4073757 补丁,CPU 微码补丁,通过推测执行实现缓存侧信道攻击,该补丁将影响CPU性能)
关于 VBS 补充说明,真正的仅关闭 VBS 基于虚拟化的安全性,而不影响 Hyper 虚拟化/vt,支持 24h2,支持重启不复发(如果关闭后自己主动打开 hyper,会自动打开 VBS,这个不是复发,是预期行为,需要自己再次手动关闭)
还工具额外处理了
关闭 内核隔离,Windwos 安全中心页面 → 设备安全 → 内核隔离
内存完整性
关闭 核心隔离,Windwos 安全中心页面 → 设备安全 → 核心隔离
- 内核模式硬件强制实施堆栈保护
- 内存访问保护
- 数据执行保护(DEP)
- 强制图像随机化(强制 ASLR)
- 随机内存分配(由下而上 ASLR)
- 控制流保护 (CFG)
- 验证异常链(SEHOP)
- 验证堆完整性
- 任意代码防护(ACG)
- 代码完整性防护
- 验证映像依赖项完整性
- 验证堆栈完整性(StackPivot)
- 导入地址筛选(IAF)
- ……
使用方法,在此之前你需要主动关闭 Windows Defender 实时保护和反篡改保护,该软件在 GitHub 完全开源,代码可审计,拥有 4K+ 的 star,项目地址见文末,放心加白名单,没有病毒和后门,右键以管理员身份运行分享链接里面的 DefenderRemover.exe,输入 Y**,并回车,表示全部移除,1-2分钟之后,系统会自动重启,一切搞定
该工具没有主动关闭 DEP 数据执行保护,因为一些游戏反作弊程序的兼容问题,我们手动关闭就好,管理员权限下的 ps/cmd 执行
bcdedit /set {current} nx AlwaysOff
其他根据需要自行处理的
关闭 防火墙(域网络/专用网络/公用网络)
netsh advfirewall set allprofiles state off- 关闭 Windows 自动维护
使用方法:运行关闭windows自动维护.exe,解压注册表文件,双击导入即可 - 关闭 Windows 自动更新
有多种方案 - 方法一,使用 Windows Update Blocker,简洁高效(如果没复发):
运行关闭 Windows 自动更新_Wub_v1.8.exe解压到任意目录,进入解压目录,右键以管理员身份运行运行Wub_x64.exe,选择Disable Update(禁止更新),最后点击Apply Now(立即应用) - 方法二,GitHub 开源方案(处理的更彻底)
先确保当前没有挂起的/等待中的待安装更新,检查设置>更新和安全 页面自行验证,如果有让它进行完再说
运行关闭 Win10 11 自动更新.exe,解压到任意目录,进入解压后的目录,以管理员身份运行disable updates.bat
当某些服务依赖于更新服务的运行才可以使用时,如 Microsoft Store 依赖于 Windows Update 服务,就运行use update service.bat恢复 Windows 自动更新服务和它的依赖服务
完成后,运行disable updates.bat再次禁用更新服务 - 移除 Microsoft Edge (可选仅屏蔽入口/完全移除/一起移除 WebView2 运行库)
运行Remove-MS-Edge-main.exe,解压后进入解压目录,以管理员身份运行Remove-Edge.exe
禁用驱动强制签名需要特殊处理,根据情况酌情选择
- 临时禁用驱动强制签名(DSE),一定有效,能直接运行未签名驱动
按住 Shift + 点击重启,Windows 将重新启动并显示 高级启动 选项,启动设置>重新启动>高级选项 中选择 疑难解答,重新启动后,你将看到启动设置列表。按 F7 或相应的键选择 “禁用驱动程序强制签名”。
或者使用这个方法,但是可能需要测试签名,无签名无法运行
bcdedit /set nointegritychecks off
bcdedit.exe -set loadoptions DENABLE_INTEGRITY_CHECKS
bcdedit.exe /set testsigning off
重启生效
- 进阶【彻底永久处理】,使用分享链接里面的 EfiGuard 处理 PatchGuard 和 DSE
该项目也在 GitHub 开源,并持续维护更新适配,具体地址见文末
EfiGuard 可在引导时破解 Windows 引导管理器、引导加载程序和内核,以禁用 PatchGuard 和驱动程序签名强制 (DSE)
支持所有 EFI 兼容版本的 Windows x64,从 Vista SP1 到 Windows 11
使用方法详情见 GitHub 说明
大概流程
下载 EfiGuard 并将 EFI/Boot/Loader.efi 重命名为 bootx64.efi
将文件放在 ESP 分区,假设 ESP 分区的盘符是 X:,两个文件的路径现在应该是 X:/EFI/Boot/{bootx64|EfiGuardDxe}.efi
使用 EasyUEFI 手动添加 UEFI 引导项
修改 BIOS 启动菜单,使用新增的 UEFI 启动项,Windows 现在应该可以启动,并且您应该在启动期间看到 EfiGuard 消息。
因为您需要为加载程序添加 UEFI 启动条目
鸣谢:
https://learn.microsoft.com/zh-cn/defender-endpoint/customize-exploit-protection
https://github.com/ionuttbara/windows-defender-remover
https://github.com/ShadowWhisperer/Remove-MS-Edge
https://www.sordum.org/9470/windows-update-blocker-v1-8
https://github.com/tsgrgo/windows-update-disabler
https://github.com/Mattiwatti/EfiGuard