Исследователь разработал новый инструмент под названием Defendnot, который может отключить Microsoft Defender на устройствах Windows, зарегистрировав поддельный антивирус, даже если настоящий антивирус не установлен.
Windows уязвима? Фейковый антивирус может деактивировать Microsoft Defender
Метод основан на использовании неофициального API Центра безопасности Windows (WSC), который обычно используют антивирусные программы, чтобы сообщить системе о своей установке и взять на себя управление защитой в реальном времени.
Когда такой антивирус регистрируется, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов между несколькими решениями безопасности.
Инструмент Defendnot (GitHub), разработанный исследователем под псевдонимом es3n1n, использует этот API для регистрации фальшивого антивируса, который проходит все проверки Windows.
Он основан на более раннем проекте no-defender, в котором использовался код стороннего антивируса для имитации регистрации в WSC. Однако тот проект был удалён с GitHub после подачи жалобы по DMCA от разработчика антивируса.
Из блога автора:
Через несколько недель после релиза проект стал довольно популярным, набрав около 1,5 тысяч звезд на GitHub, и после этого разработчики антивируса, чей код я использовал, подали жалобу по DMCA. Я не стал с этим связываться и просто все удалил.
Defendnot избегает проблем с авторским правом, создав все с нуля на основе поддельной DLL-антивируса.
Обычно API WSC защищен через механизмы вроде Protected Process Light (PPL), цифровых подписей и других методов. Чтобы обойти эти защиты, Defendnot требует права администратора и внедряет свою DLL в системный процесс Taskmgr.exe, который уже подписан и считается доверенным. Из этого процесса он регистрирует поддельный антивирус с фейковым именем.
После регистрации Microsoft Defender немедленно отключается, и на устройстве не остается активной защиты.
Инструмент также включает загрузчик, который использует файл ctx.bin для передачи конфигурации — можно задать имя «антивируса», отключить регистрацию или включить подробное логирование.
Для автозапуска Defendnot добавляет задание в Планировщик задач Windows, чтобы запускаться при входе в систему.
Хотя Defendnot позиционируется как исследовательский проект, он демонстрирует, как можно использовать доверенные функции системы для отключения встроенных средств безопасности.
На данный момент Microsoft Defender распознает и помещает Defendnot в карантин как угрозу Win32/Sabsik.FL.!ml.
Последние статьи #Windows
• Microsoft обновила Visual Studio Code: Автопилот для ИИ-агентов и новые инструменты разработки
• Microsoft готовит мартовское обновление Windows 11 (KB5079473): 9 ключевых изменений
• Вторник Патчей, 10 марта 2026 года: Обновления безопасности для Windows 11, ESU-обновления для Windows 10
• Обновление KB5079385 (Build 26300.7965) для Windows 11, версия 25H2 (Dev)
• Обновление KB5079382 (Build 26220.7961) для Windows 11, версия 25H2 (Beta)
• Windows 11 Build 28020.1685 (Canary): Обновление KB5079381 для Windows 11, версия 26H1