背景介绍

由于微软不再更新arm版本的win10系统,因此只能通过安装insider preview的镜像来使用。而能找到的win10 on arm最新版镜像在安装之后由于内核版本过期,无法打开Windows安全中心面板了,提示如下:

image-20230905022724529

尝试了各种方式,搜遍了国内国外的各大论坛,也没找到相同的问题。可能这个情况实在奇特。

本来想直接关闭或者卸载Windows Defender,但是由于Tamper Protection防篡改保护的原因一直无法成功,并且恶心的是这个东西只能通过面板来关闭,即使TrustedInstaller权限也没用。


思路讲解

下面介绍一种另类的思路,并且实操成功。

由于Windows Defender的机制是当存在其他杀软时就会关闭他自己的功能,非常值得注意的是,Tamper Protection防篡改保护也会临时关闭。因此,当我们下载一个杀软去覆盖WD后强制卸载它,然后再卸载我们的杀软是不是就可以了呢?这是不是就饶过了防篡改保护机制呢?


操作流程

这是要用到的一些工具。这些工具我会上传到蓝奏云,访问密码:16qi, 解压密码:yV=e5oe.。注意,这里的sysdiag是火绒(这里选火绒是因为安装和卸载起来都很方便,不像某60),我的是arm版,如果是x86设备可以自己去官网下,什么杀软都可以。
image-20230905023318258

由于此时还未关闭实时防护,因此先安装火绒。当然也可以使用advancedrun工具关闭它,这个后面再讲。

火绒安装好后运行,放在后台。管理员身份运行cmd

image-20230905024117566

进入到advancedrun工具的目录下,我这里是C:\Users\admin\Desktop\advancedrun-x64

然后执行如下命令关闭Windows Defender的实时保护

1
2
cd "C:\Users\admin\Desktop\advancedrun-x64"
AdvancedRun.exe /EXEFilename "%windir%\system32\cmd.exe" /CommandLine '/c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /d 1 /t REG_DWORD /f' /RunAs 8 /Run

image-20230905024319533

然后我们运行这个强力卸载软件:(强力移除defender)WDControl_1.7.0.exe,选择移除组件。一路确定重启即可

注意,这里移除组件之后就无法恢复,慎重。

image-20230905024412284

重启之后我们使用另一个工具来看一下,果然已经找不到Windows Defender了

image-20230905024647820

最后,我们再卸载火绒即可。