2026.01.19

EDRStartupHinder可阻斷Windows 11啟動時的殺毒軟件與EDR服務(wù)

以開發(fā)EDR-Freeze和EDR-Redir等EDR規(guī)避工具聞名的安全研究員TwoSevenOneT，本周發(fā)布了EDRStartupHinder工具。

該工具通過Windows Bindlink重定向關(guān)鍵的System32 DLL，在Windows 11 25H2系統(tǒng)的Windows Defender上演示了如何阻斷殺毒軟件和EDR服務(wù)的啟動。

1、殺毒軟件與EDR的運行機制

殺毒軟件和EDR服務(wù)雖然以標(biāo)準(zhǔn)Windows服務(wù)形式運行，但通過內(nèi)核驅(qū)動提供增強保護。

它們以SYSTEM權(quán)限運行，開機自動啟動，并采用受保護進程輕量級（PPL）機制防止用戶模式篡改。

用戶模式的配置更改會失效，除非使用EDR-Freeze等高級技術(shù)，否則無法修改這些進程。

2、當(dāng)前解決方案

由于Microsoft Defender默認(rèn)啟用，用戶需前往安全中心臨時關(guān)閉防護才能完成激活。

操作完成后應(yīng)立即恢復(fù)防護措施。必須特別強調(diào)：操作時需極度警惕域名準(zhǔn)確性。

若在關(guān)閉防護時誤執(zhí)行釣魚腳本，系統(tǒng)將完全暴露于惡意軟件威脅之下，可能導(dǎo)致災(zāi)難性數(shù)據(jù)泄露或其他安全事件。

3、Bindlink啟動阻斷技術(shù)

此前EDR-Redir等技術(shù)在服務(wù)啟動后重定向EDR文件夾，但已被廠商防御。

EDRStartupHinder通過針對所有進程（包括EDR）必需的System32目錄實現(xiàn)先發(fā)制人。

 

具體步驟包括：

• 創(chuàng)建更高優(yōu)先級的服務(wù)
• 通過Bindlink將核心DLL重定向到未簽名的"損壞"副本
• 利用PPL機制使EDR在加載失敗時崩潰
• 終止后清理痕跡
   

服務(wù)優(yōu)先級參考BYOVD研究，檢查注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder。目標(biāo)DLL需避開KnownDLLs預(yù)加載列表（可通過Process Monitor識別）。

4、工具參數(shù)與實戰(zhàn)演示

該工具GitHub版本包含以下參數(shù)：

• OriginalLib（System32 DLL路徑）
• FakeLib（副本位置）
• ServiceName/Group（優(yōu)先級）
• EDRProcess（目標(biāo)進程如MsMpEng.exe）
   

工具會破壞FakeLib的PE頭簽名，注冊為服務(wù)后動態(tài)監(jiān)控EDR啟動并應(yīng)用/移除Bindlink。用戶需使用Process Explorer分析啟動日志確定EDR特定DLL和服務(wù)組。

在Windows 11 25H2測試環(huán)境中，針對Defender引擎MsMpEng.exe和啟動加載的msvcp_win.dll，使用TDI服務(wù)組優(yōu)先級的命令示例：

EDRStartupHinder.exe msvcp_win.dll C:\TMP\FakeLib DusmSVC-01 TDI MsMpEng.exe

 

重啟后服務(wù)優(yōu)先激活并重定向DLL，受PPL保護的MsMpEng.exe會拒絕未簽名DLL并自我終止。

5、防御建議

系統(tǒng)管理員應(yīng)監(jiān)控：

• bindlink.dll使用情況
• 高優(yōu)先級組中的可疑服務(wù)
• System32目錄異常
   

縱深防御措施包括：

• 擴展KnownDLLs列表
• 加強簽名驗證審計
• 啟用minifilter日志記錄
   

需強化DLL依賴關(guān)系和啟動順序防護。該技術(shù)證明Windows機制對紅隊是把雙刃劍，實驗室測試中可有效對抗Defender和未具名商業(yè)EDR/殺毒軟件。

上一篇：擊者操縱大語言模型實現(xiàn)漏洞利用自動化

下一篇：AI泡沫的致命漏洞：大模型不是真正的智能