UnDefend：针对Windows Defender的DoS PoC工具分析

导语：又一款”让杀毒软件变成废铁”的工具出炉了。安全研究人员最近发布了一款用 Rust 编写的 Windows Defender DoS PoC——UnDefend。不需要管理员权限，不需要高深技术，普通用户运行起来就能让 Defender 完全失灵。更可怕的是，配合 bluehammer 使用，你的机器基本就是个敞开的洞，任何人都能用管理员权限运行任何东西。杀毒软件？不如删了算了。

一、工具概述

UnDefend 是一款针对 Windows Defender 的拒绝服务（DoS）PoC 工具，由安全研究人员 Nightmare-Eclipse 发布在 GitHub 上。

项目地址：https://github.com/Nightmare-Eclipse/UnDefend

核心特点：

使用 Rust 编写（高性能、内存安全）
不需要管理员权限，普通用户即可运行
攻击对象：Microsoft Windows Defender

作者在博客中直言不讳：

“This tool, while stupid, is quite dangerous cause if paired with bluehammer, your machine is basically a hole, anyone can run anything with administrator privileges and windows defender can’t really do much about it.”

翻译成人话就是：这东西虽然看起来很蠢，但危险得很——配合 bluehammer，你的电脑就是个洞，任何人都能用管理员权限运行任何东西，Defender 根本拦不住。

二、攻击模式详解

UnDefend 有两种运行模式：

被动模式（Passive Mode）

默认模式。在这个模式下，工具会阻止 Windows Defender 的所有签名更新。

这意味着什么？

Defender 无法检测任何新威胁
即使微软推送了新特征码，机器也收不到
你的系统就像裸奔一样，但 Defender 控制台可能还显示”一切正常”

作者甚至透露，他找到了一种方法可以欺骗 EDR Web 控制台，让它显示 Defender 正在运行、签名是最新的——但实际上早就瘫了。

不过作者暂时没有公开这个欺骗代码，原因是他认为”会造成太大损害”。

主动模式（Aggressive Mode）

这个模式的目标是完全关闭 Windows Defender，但有一个前提：

只有当微软推送主要平台更新时（也就是 MsMpEng.exe 和其他核心二进制文件更新），这个模式才能生效。

由于平台更新不像签名更新那么频繁，工具默认以被动模式运行。

但如果你预期微软即将推送重大更新，可以提前把工具切换到主动模式——一旦更新推送，Defender 直接停止响应，彻底哑火。

三、真实威胁评估

为什么这个工具很危险？

1. 门槛极低 不需要管理员权限，不需要技术背景，下载下来双击运行就能生效。这意味着任何一个普通员工都能让公司电脑的 Defender 失灵。

2. 配合 BluePwn/BloodHammer 更可怕 单独看 UnDefend，可能只是一个 DoS 工具。但如果配合 bluehammer 这类权限提升工具，攻击者可以直接获得管理员权限，然后为所欲为。

3. 隐蔽性强 被动模式下，Defender 的管理界面可能还显示”正常”，但实际上已经无法检测新威胁。这种”假健康”状态会让管理员误以为一切平安。

4. 作者认为是 0day 工具作者自称这是某种意义上的 0day。微软肯定会试图修复，但预计优先级不会太高——毕竟 DoS 类漏洞在微软的漏洞评级里通常权重较低。

四、影响范围

受影响产品：

Windows Defender（Windows 内置杀毒软件）
所有依赖 Defender 做终端防护的 Windows 系统

系统要求：

Windows 10/11
标准用户权限即可运行（无需管理员）

五、防御建议

面对这种攻击，企业和个人用户可以采取以下措施：

1. 部署多层防护

不要单一依赖 Windows Defender。建议：

部署企业级 EDR 解决方案（如 CrowdStrike、SentinelOne）
使用应用白名单策略（AppLocker）
开启 Attack Surface Reduction (ASR) 规则

2. 监控 Defender 服务状态

通过 PowerShell 定期检查 Defender 服务健康状态：

Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated

如果发现签名长期未更新，可能是被动模式 DoS 在作祟。

3. 限制普通用户权限

虽然 UnDefend 不需要管理员权限，但遵循最小权限原则仍然重要：

避免给普通用户分配过高权限
启用 User Account Control (UAC)
禁用或限制 PsExec 等工具

4. 关注微软补丁动态

主动模式依赖于平台更新，关注微软安全更新博客，及时打补丁。

5. 考虑替代方案

如果你的环境确实面临较高风险，可以考虑：

暂时禁用 Defender，换用第三方杀软（讽刺但现实）
部署 Defender for Endpoint 等企业版方案

六、总结

UnDefend 的出现，再次证明了一个残酷的事实：

杀毒软件从来不是绝对安全的防线。

它能防住脚本小子的小把戏，但在遇到稍微专业一点点的攻击者时，它的设计缺陷就会被无限放大。

作者说得好：”Considering that’s the whole purpose of an antivirus, you’re better off removing it lol.”

话糙理不糙。

参考链接

GitHub：https://github.com/Nightmare-Eclipse/UnDefend
博客原文：https://deadeclipse666.blogspot.com/2026/04/funny-dos-tool.html

文章版权归作者所有，未经允许请勿转载。

THE END

UnDefend：针对 Windows Defender 的 DoS PoC 工具（Rust 版）