我们都知道很久之前就有人提出了临牌移除这种说法去致盲AV EDR，当时好像是针对Windows Defender的，那么到了现在了，炒这个冷饭还能有用吗 ，我们就来探究一下，本文通过对比国内外AV EDR进行探究　！

Windows 10 Defender（No）

因为当时就是针对DF去提出的，所以DF已经是加强了对他的防护，直接现在是句柄都获取不了（其实很多杀软现在也是直接不让你获取他的句柄）

Windows Server 2016 Defender （Yes）

我们知道在Windows Defender中 Server2016 的查杀能力是比较强悍的

我们还是用令牌移除的方法，成功移除

成功致盲

火绒（Yes）

也是稳定发挥，笑死我了🤣🤣🤣

虽说男崩，但是人家在内核也是做了回调监控的，想要真的致盲，只在三环对抗可不行

联想电脑管家

稳定发挥

但是仍然，还是有内核回调的

奇安信V10天擎(Yes)

只能说天擎一如既往的发挥正常

Kaspersk EDR（Yes -> Failed）

我们还是去移除，发现没有任何报错，并且显示是成功移除了的

但是这是真的致盲了吗 ？ 

但是我们发现卡巴现在已经删不掉我们的程序了（没令牌了），但是我们也运行不起来 （因为人家在内核还有回调，我们只是在Ring3进行了致盲）

卡巴斯基EDR作为一款强大的EDR ，我们通过实验可以发现，就算我们在Ring3完全移除他的token ，但是也不是能猥琐欲为，人家在Ring0挂了保护，并且人家的反病毒模块肯定也是写在了Ring0 

Symantec EDR  (Yes -> Failed)

发现他是部分令牌允许移除，但是部分令牌无法移除

查杀能力依旧

Trellix EDR（No）

只能移除部分令牌，并且beacon在移除了其中一个令牌之后死掉

通过上面的实验，我们可以看出令牌移除致盲这种方法，对国外的基本上用处不大（Windows Defender还能被致盲除外），但是对于国产的一些EDR AV。。。（当然他们也都有做对应的内核回调，所以也不至于令牌没了就立刻消失所有杀毒能力了，只不过Kill不到你了，你启进程，落地，ob句柄还是在内核会有对应的监控）最后。 快2025年了，这个冷饭还能再次被炒熟吗  ？？？