Es handelt sich nicht nur um einen Prozess, der als SYSTEM läuft, sondern der Defender Antivirus-Dienst ist auch ein Prozess, der durch den Kernel geschützt ist. Das bedeutet, dass der einzige Weg, ihn tatsächlich zu beenden, die Verwendung eines Treibers auf Kernel-Ebene ist, wie der in mimikatz implementierte, um den Kernel-Schutz zu entfernen. Das stellt ein enormes Sicherheitsrisiko dar.