Nightmare-Eclipse/UnDefend

# UnDefend 托管 windows defender DOS 工具的仓库 此工具无需管理员权限，可作为标准用户运行。 它运行在两种模式：被动模式和主动模式。 在被动模式下，PoC 阻止所有签名更新，导致 defender 无法检测任何新威胁，因此如果 Microsoft 推送新内容，会被立即拦截。  在主动模式下，PoC 旨在完全禁用 defender，但仅在 Microsoft 推送主要平台更新（MsMpEng.exe 及其他二进制文件更新）时生效。由于此类更新不像签名更新那样频繁推送，因此 PoC 默认以被动模式运行。然而，如果你预期有主要平台更新，将 PoC 设置为运行在主动模式，这将导致 windows defender 停止响应。届时它将完全禁用，你可以无需 defender 干扰地运行任意操作。  现在有趣的是，我发现了一种方法，可以向 EDR 控制台谎称 defender 正在以最新更新运行，即使实际上并非如此。我曾考虑发布相关代码，但仔细权衡后认为这会造成过大破坏，因此决定暂时将这些内容保留。

标签：DAST, DoS, EDR绕过, Microsoft MpEng, PoC, Windows Defender, 主动模式, 反病毒规避, 安全演示, 平台更新, 恶意软件分析, 拒绝服务, 无管理员权限, 暴力破解, 标准用户, 端点防护, 签名更新阻断, 被动模式, 防御禁用, 高交互蜜罐