不关闭Tamper Protection(篡改保护)下强制卸载Windows Defender和安全中心所有组件

个人博客: xzajyjs.cn

---

背景介绍

由于微软不再更新arm版本的win10系统，因此只能通过安装insider preview的镜像来使用。而能找到的win10 on arm最新版镜像在安装之后由于内核版本过期，无法打开Windows安全中心面板了，提示如下：

尝试了各种方式，搜遍了国内国外的各大论坛，也没找到相同的问题。可能这个情况实在奇特。

本来想直接关闭或者卸载Windows Defender，但是由于Tamper Protection防篡改保护的原因一直无法成功，并且恶心的是这个东西只能通过面板来关闭，即使TrustedInstaller权限也没用。

---

思路讲解

下面介绍一种另类的思路，并且实操成功。

由于Windows Defender的机制是当存在其他杀软时就会关闭他自己的功能，非常值得注意的是，Tamper Protection防篡改保护也会临时关闭。因此，当我们下载一个杀软去覆盖WD后强制卸载它，然后再卸载我们的杀软是不是就可以了呢？这是不是就饶过了防篡改保护机制呢？

---

操作流程

这是要用到的一些工具。这些工具我会上传到蓝奏云，访问密码：16qi, 解压密码：yV=e5oe.。注意，这里的sysdiag是火绒(这里选火绒是因为安装和卸载起来都很方便，不像某60)，我的是arm版，如果是x86设备可以自己去官网下，什么杀软都可以。

由于此时还未关闭实时防护，因此先安装火绒。当然也可以使用advancedrun工具关闭它，这个后面再讲。

火绒安装好后运行，放在后台。管理员身份运行cmd

进入到advancedrun工具的目录下，我这里是C:\Users\admin\Desktop\advancedrun-x64。

然后执行如下命令关闭Windows Defender的实时保护

cd "C:\Users\admin\Desktop\advancedrun-x64"
AdvancedRun.exe /EXEFilename "%windir%\system32\cmd.exe" /CommandLine '/c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /d 1 /t REG_DWORD /f' /RunAs 8 /Run

然后我们运行这个强力卸载软件：(强力移除defender)WDControl_1.7.0.exe，选择移除组件。一路确定重启即可

注意，这里移除组件之后就无法恢复，慎重。

重启之后我们使用另一个工具来看一下，果然已经找不到Windows Defender了

最后，我们再卸载火绒即可。