Исследователь разработал новый инструмент под названием Defendnot, который может отключить Microsoft Defender на устройствах Windows, зарегистрировав поддельный антивирус, даже если настоящий антивирус не установлен.
Windows уязвима? Фейковый антивирус может деактивировать Microsoft Defender
Метод основан на использовании неофициального API Центра безопасности Windows (WSC), который обычно используют антивирусные программы, чтобы сообщить системе о своей установке и взять на себя управление защитой в реальном времени.
Когда такой антивирус регистрируется, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов между несколькими решениями безопасности.
Инструмент Defendnot (GitHub), разработанный исследователем под псевдонимом es3n1n, использует этот API для регистрации фальшивого антивируса, который проходит все проверки Windows.
Он основан на более раннем проекте no-defender, в котором использовался код стороннего антивируса для имитации регистрации в WSC. Однако тот проект был удалён с GitHub после подачи жалобы по DMCA от разработчика антивируса.
Из блога автора:
Через несколько недель после релиза проект стал довольно популярным, набрав около 1,5 тысяч звезд на GitHub, и после этого разработчики антивируса, чей код я использовал, подали жалобу по DMCA. Я не стал с этим связываться и просто все удалил.
Defendnot избегает проблем с авторским правом, создав все с нуля на основе поддельной DLL-антивируса.
Обычно API WSC защищен через механизмы вроде Protected Process Light (PPL), цифровых подписей и других методов. Чтобы обойти эти защиты, Defendnot требует права администратора и внедряет свою DLL в системный процесс Taskmgr.exe, который уже подписан и считается доверенным. Из этого процесса он регистрирует поддельный антивирус с фейковым именем.
После регистрации Microsoft Defender немедленно отключается, и на устройстве не остается активной защиты.
Инструмент также включает загрузчик, который использует файл ctx.bin для передачи конфигурации — можно задать имя «антивируса», отключить регистрацию или включить подробное логирование.
Для автозапуска Defendnot добавляет задание в Планировщик задач Windows, чтобы запускаться при входе в систему.
Хотя Defendnot позиционируется как исследовательский проект, он демонстрирует, как можно использовать доверенные функции системы для отключения встроенных средств безопасности.
На данный момент Microsoft Defender распознает и помещает Defendnot в карантин как угрозу Win32/Sabsik.FL.!ml.
Последние статьи #Windows
• Microsoft может заблокировать ваш аккаунт без объяснений — и вы потеряете доступ ко всем данным
• Пользователи жалуются на сбой установки обновления KB5063060 для Windows 11, версия 24H2
• AMD создаст чип для Xbox Next — Microsoft подтверждает Xbox нового поколения, включая домашние консоли и портативные устройства
• Windows Hello больше не работает в темноте: Microsoft отключила распознавание лиц в темных помещениях из-за уязвимости
• Официальные ISO-образы Windows 11 и Windows 10 (июнь 2025 года)
• Обновление KB5063159 (Build 19045.5968) для Windows 10, версия 22H2. Устраняет сбой запуска Microsoft Surface Hub v1