新式DefenderWrite东西可向杀毒软件履行目录注入歹意DLL

　　网络安全专家Two Seven One Three开发的DefenderWrite东西可运用Windows白名单程序绕过防护机制，向杀毒软件可履行文件目录写入恣意文件，或许完成歹意软件耐久化和躲避检测。

　　该东西展现了浸透测验人员和红队无需内核级权限即可在高度受维护方位投进载荷的新技能，凸显了杀毒软件自我维护机制面对的继续应战——一般这些机制会确定杀毒软件可履行文件地点目录以避免篡改。

　　进犯者经过辨认杀毒软件厂商为更新和装置操作设置的白名单体系程序，可经过这些破例情况注入歹意DLL，将杀毒软件本身的防护机制转化为进犯跳板。该东西已在GitHub发布，引发了关于企业环境中杀毒软件操作必要性与安全危险平衡的评论。

　　DefenderWrite的中心立异在于体系扫描Windows可履行文件以发现具有杀毒软件目录拜访权限的程序。该办法枚举C:\Windows等目录中的一切.exe文件，然后经过进程创建和长途DLL注入测验对受维护途径的写入才能。

　　随东西发布的PowerShell脚本Run_Check.ps1可主动扫描C:\Windows中的可履行文件并记载白名单程序以供后续运用。用户可自定义脚本以习惯不一样环境，使其适用于红队模仿或防护评价。

　　GitHub库房供给完好源代码和文档，着重仅限授权测验中的品德运用。开发者Two Seven One Three（X渠道账号@TwoSevenOneT）共享了更多浸透测验见地，并鼓舞社区试验以增强杀毒软件耐性。

　　歹意载荷一旦驻留杀毒软件目录，就可以享用与合法文件相同的破例维护，躲避扫描并或许完成长时间驻留。该技能标明厂商需求审阅白名单战略并在更新期间施行更严厉的进程阻隔。尽管DefenderWrite提醒的并非0Day缝隙，但暴露出或许滋长实在进犯的体系性缺点。

　　企业应监控杀毒软件更新机制，并考虑逾越传统文件权限的分层防护。跟着该东西的揭露可用，估计安全研讨界将更广泛选用该技能以推进干流杀毒解决方案的防护改善。