文章总结： EDRStartupHinder利用Bindlink在Win1125H2启动阶段重定向System32DLL，使PPL保护的Defender等EDR因加载未签名DLL而自毁；工具需建高优先服务、破坏FakeLib签名、避开KnownDLLs，重启即生效，管理员可监控bindlink.dll、高优先服务与System32异常并扩展KnownDLLs防御 综合评分： 86 文章分类： 红队,EDR规避,漏洞分析,终端安全,安全工具

EDRStartupHinder可阻断Windows 11启动时的杀毒软件与EDR服务

FreeBuf

2026年1月12日 19:02 上海

以开发EDR-Freeze和EDR-Redir等EDR规避工具闻名的安全研究员TwoSevenOneT，本周发布了EDRStartupHinder工具。该工具通过Windows Bindlink重定向关键的System32 DLL，在Windows 11 25H2系统的Windows Defender上演示了如何阻断杀毒软件和EDR服务的启动。

Part01

杀毒软件与EDR的运行机制

杀毒软件和EDR服务虽然以标准Windows服务形式运行，但通过内核驱动提供增强保护。它们以SYSTEM权限运行，开机自动启动，并采用受保护进程轻量级（PPL）机制防止用户模式篡改。用户模式的配置更改会失效，除非使用EDR-Freeze等高级技术，否则无法修改这些进程。

Part02

当前解决方案

由于Microsoft Defender默认启用，用户需前往安全中心临时关闭防护才能完成激活。操作完成后应立即恢复防护措施。必须特别强调：操作时需极度警惕域名准确性。若在关闭防护时误执行钓鱼脚本，系统将完全暴露于恶意软件威胁之下，可能导致灾难性数据泄露或其他安全事件。

Part03

Bindlink启动阻断技术

此前EDR-Redir等技术在服务启动后重定向EDR文件夹，但已被厂商防御。EDRStartupHinder通过针对所有进程（包括EDR）必需的System32目录实现先发制人。

具体步骤包括：

• 创建更高优先级的服务
• 通过Bindlink将核心DLL重定向到未签名的”损坏”副本
• 利用PPL机制使EDR在加载失败时崩溃
• 终止后清理痕迹

服务优先级参考BYOVD研究，检查注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder。目标DLL需避开KnownDLLs预加载列表（可通过Process Monitor识别）。

Part04

工具参数与实战演示

该工具GitHub版本包含以下参数：

• OriginalLib（System32 DLL路径）
• FakeLib（副本位置）
• ServiceName/Group（优先级）
• EDRProcess（目标进程如MsMpEng.exe）

工具会破坏FakeLib的PE头签名，注册为服务后动态监控EDR启动并应用/移除Bindlink。用户需使用Process Explorer分析启动日志确定EDR特定DLL和服务组。

在Windows 11 25H2测试环境中，针对Defender引擎MsMpEng.exe和启动加载的msvcp_win.dll，使用TDI服务组优先级的命令示例：

EDRStartupHinder.exe msvcp_win.dll C:\TMP\FakeLib DusmSVC-01 TDI MsMpEng.exe

重启后服务优先激活并重定向DLL，受PPL保护的MsMpEng.exe会拒绝未签名DLL并自我终止。

Part05

防御建议

系统管理员应监控：

• bindlink.dll使用情况
• 高优先级组中的可疑服务
• System32目录异常

纵深防御措施包括：

• 扩展KnownDLLs列表
• 加强签名验证审计
• 启用minifilter日志记录

厂商需强化DLL依赖关系和启动顺序防护。该技术证明Windows机制对红队是把双刃剑，实验室测试中可有效对抗Defender和未具名商业EDR/杀毒软件。

参考来源：

New EDRStartupHinder Tool blocks antivirus and EDR services at startup on Windows 11 25H2 Defender

New EDRStartupHinder Tool blocks antivirus and EDR services at startup on Windows 11 25H2 Defender

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《EDRStartupHinder可阻断Windows 11启动时的杀毒软件与EDR服务》