Windows安全中心(病毒和威胁防护)的注册

已于 2024-12-17 15:17:32 修改
阅读量1.8k 收藏 21
点赞数 25
分类专栏: 终端安全 Windows系统原理 文章标签: windows 安全 驱动开发 c语言 c++
于 2024-12-17 13:45:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsinlink/article/details/144533506
版权

文章目录

Windows安全中心(病毒和威胁防护)的注册

本文我们来分析一下Windows安全中心(Windows Security Center简称WSC)的注册原理,以及其中的一些比较有意思的技术性问题。

1. 简介

通常情况下,如果我们安装了一些第三方的安全软件之后,就会接管Windows的安全服务(Windows Defender);这里主要的原因大概是防止系统安全软件太多,导致Windows性能下降。可以看到如下:
在这里插入图片描述

以火绒为例,可以看到当系统安装了火绒安全软件之后,在Windows 安全中心的病毒和威胁防护就可以看到注册的安全软件信息了。

当系统注册了第三方安全软件之后,Windows Defender防病毒服务就停止了;这是Windows为第三方安全软件提供的一个入口,但是目前市面上很大安全软件还比不上Windows自带的Defender,也是比较讽刺。

那么怎么样才能将自己的安全软件注册到Windows安全中心呢?大致的步骤如下:

  1. 成为MVI会员。
  2. 微软提供一个内部的私有接口。
  3. 提供相关签名证书。

通过上面流程,我们就可以开发自己的安全软件,并且将自己的安全软件注册到WSC种。那么有没有办法可以绕过上面这些呢?这就是本文需要分析的技术性知识点。

2. WSC注册初探

WSC如果被注册成功之后,可以通过命令get-wmiObject -namespace root\SecurityCenter2 -class AntiVirusProduct来查询相关信息,结果如下:

> get-wmiObject  -namespace root\SecurityCenter2 -class AntiVirusProduct


__GENUS                  : 2
__CLASS                  : AntiVirusProduct
__SUPERCLASS             :
__DYNASTY                : AntiVirusProduct
__RELPATH                : AntiVirusProduct.instanceGuid="{D68DDC3A-831F-4fae-9E44-DA132C1ACF46}"
__PROPERTY_COUNT         : 6
__DERIVATION             : {}
__SERVER                 : DESKTOP-1SIKOAK
__NAMESPACE              : ROOT\SecurityCenter2
__PATH                   : \\DESKTOP-1SIKOAK\ROOT\SecurityCenter2:AntiVirusProduct.instanceGuid="{D68DDC3A-831F-4fae-9E
                           44-DA132C1ACF46}"
displayName              : Windows Defender
instanceGuid             : {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
pathToSignedProductExe   : windowsdefender://
pathToSignedReportingExe : %ProgramFiles%\Windows Defender\MsMpeng.exe
productState             : 393472
timestamp                : Tue, 17 Dec 2024 02:37:41 GMT
PSComputerName           : DESKTOP-1SIKOAK

__GENUS                  : 2
__CLASS                  : AntiVirusProduct
__SUPERCLASS             :
__DYNASTY                : AntiVirusProduct
__RELPATH                : AntiVirusProduct.instanceGuid="{4C17E7AE-043A-D732-91B8-D139C9EB6B26}"
__PROPERTY_COUNT         : 6
__DERIVATION             : {}
__SERVER                 : DESKTOP-1SIKOAK
__NAMESPACE              : ROOT\SecurityCenter2
__PATH                   : \\DESKTOP-1SIKOAK\ROOT\SecurityCenter2:AntiVirusProduct.instanceGuid="{4C17E7AE-043A-D732-91
                           B8-D139C9EB6B26}"
displayName              : 火绒安全软件
instanceGuid             : {4C17E7AE-043A-D732-91B8-D139C9EB6B26}
pathToSignedProductExe   : C:\Program Files\Huorong\Sysdiag\bin\wsctrlsvc.exe
pathToSignedReportingExe : C:\Program Files\Huorong\Sysdiag\bin\wsctrlsvc.exe
productState             : 266240
timestamp                : Tue, 17 Dec 2024 02:37:36 GMT
PSComputerName           : DESKTOP-1SIKOAK

在这里可以看到有两个类信息:

  1. Windows Defender表示默认的Windows Defender。
  2. 火绒安全软件表示火绒。

这里可以看到一个非常重要的信息,WSC注册的进程为C:\Program Files\Huorong\Sysdiag\bin\wsctrlsvc.exe

那么我们就可以请出IDA和调试神器WINDBG来分析和调试一下WSC注册的原理。

3. WSC注册原理分析

由于我们需要成为MVI会员之后,才能有相关私有SDK文档,这里我们就分析一下wsctrlsvc.exe这个程序,大致看一下私有SDK是怎么使用的。

我们可以看到WSC相关的主要文件有如下几个:

最低0.47元/天 解锁文章
Windows基础安全设置
悦分享
05-15 6151
不过这项策略在前几年并非是强制的,默认设置的Windows中,如果安装不包含微软签名的驱动Windows只会提示用户可能存在的风险,并由用户决定要采取怎样的操作。但如果自己不知道有哪些安全软件是兼容Windows 7的,例如,还没有安装反病毒软件,希望使用一个微软推荐的软件,则可以单击相应的类别(例如,反病毒软件对应的“恶意软件保护”类别),然后单击“查找程序”按钮,这样系统会自动调用浏览器访问微软网站上的相关页面,在那里可以看到微软推荐的所有软件,并可下载试用。如果找不到匹配的信息,则会拒绝登录。
笔记本Win11关闭病毒威胁防护的详细步骤
nntxthml的博客
12-27 3053
关闭Windows 11笔记本上的病毒威胁防护功能需要一定的操作技巧对系统安全的了解。在关闭该功能之前,请务必考虑清楚并了解可能带来的安全风险。为了弥补关闭该功能后带来的安全风险,建议您安装并使用其他可靠的安全软件来保护您的笔记本电脑。同时,定期更新病毒库、扫描系统恢复病毒威胁防护功能也是保持系统安全的重要措施。希望本文能够为您提供有用的帮助指导。
Windows Security
Muggle_的博客
06-21 2120
Windows Security在说明Windows安全机制前,先给出可信计算机系统评估标准(TCSEC),从标准出发,来分析Windows是通过怎样的机制来满足各项要求的。话句话说,这也就是Windows安全机制所能实现的功能。Windows符合TCSEC C2等级标准: 安全的登录设施 自主的访问控制 安全审计 对象重用保护 还有B等级的以下两项要求: 可信路径功能 可信设施管理 常用的Win
Windows注册安全
SXWZ的博客
04-18 3538
Windows注册安全技巧 配置注册表提高系统安全 通过注册表,用户可以轻易的添加、删除、修改windows系统内的软件配置信息或硬件驱动程序,这不仅方便了用户对系统软硬件的工作状态进行适时的调整,同时注册表也成为入侵者攻击的目标,通过注册表种植木马,修改软件信息,甚至删除、停用或改变硬件的工作状态。     注册表根项说明 HKEY_LOCAL_MACHINE包含关于本地计算机系统的信息,包括硬件操作系统数据。 HKEY_CLASSES_ROOT包含由各种OLE技术使用的信息技
软件开发:创建你自己的Windows安全中心
心清如水 择木而栖
08-15 1420
 作者:Fisnik 19岁 瑞典人文章出处:http://www.codeproject.com/KB/cs/xpsecuritycenter.aspx我想,许多用户一直想知道如何Windows安全中心的建立。那么,本文中我将演示如何Windows ® XP的安全中心的建立以及它如何工作,等。简述:Windows安全中心Windows ® XP中设计,监测三个不同的安全要点
永久禁用windows Defender 病毒威胁防护
08-31
windows Defender病毒威胁防护曾用名 Microsoft Anti Spyware,并已内置在win7以上的操作系统中,但是从win10开始,windows Defender就成了win系统的常驻软件,对系统进行实时监控,自动更新,由此会导致配置不高...
Windows 10 隐私保护及病毒威胁防护.exe
01-03
这工具基本是优化win10,并且保护隐私用 如果你想用WD,但又找不到,或者是找到了,但无法启用,或任务栏的WD图标没有了,那这个就可以帮你解决这些问题,绝对好用!
Windows安全防护技能抵御勒索病毒入侵威胁
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
09-01 1207
Windows安全防护技能抵御勒索病毒入侵威胁
Windows Security——获取Windows已经保存的WiFi网络密码
无限迭代中......
02-14 1487
操作步骤 方法一:网络共享中心设置查看 方法二:命令行方式批量提取 1、快捷键Win+R,输入cmd,回车 2、输入以下命令 查看所有WiFi 配置 netsh wlan show profile 导出所有WiFi 配置到桌面,并且不加密 netsh wlan export profile folder=C:\Users\Lenovo\Desktop k...
重装系统后电脑蓝屏
02-21
使用U盘为电脑重装了系统,重启时电脑屏幕出现蓝屏现象,无法正常进入系统,该如何解决此问题?今天u大师为大家推荐几种解决方法。 解决方案: 1)开机按F8进入安全模式,如果能够进入系统,说明是驱动或其他是不兼容的问题,手动卸载所有驱动后重装驱动、关掉防火墙、卸载杀毒软件等等; 2)用纯净版安装盘来装系统,不要用GHOST版本安装; 3)如果BIOS没有设为IDE模式也会蓝屏,在BIOS设置里的Config—>SelectSerialATA(SATA)中把选项改为AHCI。 4)如果以上三种方式都无法解决问题,可以尝试重新安装系统。
In-depth dive into the security features of the Intel/Windows platform secure boot process
老鹰不捉小鸡
01-27 1096
Introduction and System Architecture We must first begin with a brief introduction to the hardware platform. Skip this if you have read the awsome material available on the web about the Intel architecture, I’ll try to briefly summarize it here. The Intel
每月发布的Windows Defender防病毒软件平台更新
微软大中华区安全博客
12-03 2580
企业用户的管理员可能注意到从2017年12月开始,在Windows Server Update Service (WSUS)上,针对Windows Defender产品,除了每天三次的定义更新外,每月还会有一个防病毒平台更新(Antimalware Platform Update)。 例如下图: 上图标题中的4.12.17007.18022是版本号。下图是在Windows 10 1709上...
windows安全中心接口
甜筒八部 的专栏
04-30 2501
先说一个服务 服务名称:wscsvc 显示名称:Security Center WSCSVC(Windows 安全中心)服务,监视并报告计算机上的安全健康设置。 健康设置 健康设置包括防火墙的打开关闭、防病毒的(打开/关闭/过期)设置、反间谍软件(打开/关闭/过期)的设置、Windows 更新(自动/手动下载并安装更新)、用户帐户控制(打开/关闭)以及 Internet 设置(推荐/不推荐)。 该服务为独立软件供应商提供 COM API 以便向安全中心服务,注册并记录其产品的状态。安全维护 U
win11打开安全中心显示英文怎么办 windows11打开安全中心显示英文的解决方法
qq_29508575的博客
02-18 1万+
有小伙伴反馈Win11系统打开安全中心显示英文版,不知道该怎么办?下面小编就为大家详细的Win11系统打开安全中心显示英文版怎么解决。是设置中的语言首选项中的语言顺序设置所导致的,有遇到这个问题的小伙伴,一起来看看吧。更多windows11安装教程,可以参考小白重装系统网。 Win11系统打开安全中心显示英文版怎么解决? 1、打开开始设置,找到 时间语言 - 语言&区域。 2、找到“首选语言”设置, 并且把中文简体,上移到第一位置。(Windows安全中心显示的语言就是第一位置的语言
Win11系统提示找不到SecurityCenterBroker.dll文件的解决办法
file
09-23 967
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个SecurityCenterBroker.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.
如何打开、关闭卸载Windows安全中心的服务
kangkangYGO的博客
09-13 1万+
win+r——输入“regedit”——照此路径进入HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender——右侧空白区域右键,新建一个32位的值——右键进行修改(数量数据:0为开启,1为关闭),把数值改为1。开始——设置——更新安全——windows安全中心——病毒威胁防护——管理设置——关闭实时保护(云提供的保护、自动提交样本也可关闭)火绒 —— 把Windows安全中心替换为火绒。注意:一次可能成功不了,需要多次尝试!
Win11的windows安全中心显示语言(英文、日文、韩文等)如何解决
famous_pengfei的博客
01-03 4619
在使用Windows 11的过程中,一些用户可能会遇到Windows安全中心(Security Center)显示语言不匹配的问题。例如,系统语言为中文,但安全中心却显示英文,这给使用带来了一定的困扰。本文将为你提供解决方案,帮助你轻松将Windows安全中心的显示语言切换至英文、日文、韩文等其他语言。希望通过分享这些方法,能帮助你更好地理解使用Windows安全中心,提升操作体验。
windows错误事件10016解决方案
热门推荐
juniorofMFC的博客
12-06 6万+
问题描述: 电脑会出现蓝屏并自动重启。 在系统日志中会出现下面错误: 应用程序-特定 权限设置并未向在应用程序容器 Microsoft.Windows.Cortana_1.6.1.52_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-1861897761-1695161497-2927542615-642690995-327840285-2659745
win11病毒威胁防护
最新发布
02-21
### Windows 11 病毒威胁防护设置及功能介绍 #### 功能概述 Windows 11 的病毒威胁防护是一项集成的安全特性,旨在保护设备免受各种类型的恶意软件其他潜在威胁的影响。此功能不仅提供了实时监控自动更新机制来应对新出现的威胁,还允许用户自定义多种防护策略以适应不同的需求。 #### 主要组件及其作用 - **实时保护**:持续扫描文件应用程序中的可疑活动并立即采取行动阻止任何已知或未知的攻击尝试[^1]。 - **云交付保护**:利用微软庞大的云端数据库快速识别新型威胁,并通过网络连接即时获取最新的签名库更新[^2]。 - **控制文件夹访问权限**:防止未授权程序修改重要文档或其他敏感数据所在的位置;只有经过验证的应用才能执行写入操作[^3]。 - **勒索软件防护**:专门针对加密锁定个人资料的行为设计了一套防御体系,在检测到异常行为时会发出警告并向管理员报告事件详情。 #### 设置界面导航路径 进入“设置”应用后依次点击“隐私与安全性”,再选择其中的“病毒威胁防护”。在这里可以看到有关当前状态的信息概览以及更多高级配置选项链接。 ```powershell # 打开设置的方法之一是使用PowerShell命令 Start-Process ms-settings:windowsdefender ``` 对于希望调整某些特定参数或者查看历史记录的人而言,“管理设置”部分则包含了更为详尽的操作指南支持资源列表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值