Исследователь разработал новый инструмент под названием Defendnot, который может отключить Microsoft Defender на устройствах Windows, зарегистрировав поддельный антивирус, даже если настоящий антивирус не установлен.
Windows уязвима? Фейковый антивирус может деактивировать Microsoft Defender
Метод основан на использовании неофициального API Центра безопасности Windows (WSC), который обычно используют антивирусные программы, чтобы сообщить системе о своей установке и взять на себя управление защитой в реальном времени.
Когда такой антивирус регистрируется, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов между несколькими решениями безопасности.
Инструмент Defendnot (GitHub), разработанный исследователем под псевдонимом es3n1n, использует этот API для регистрации фальшивого антивируса, который проходит все проверки Windows.
Он основан на более раннем проекте no-defender, в котором использовался код стороннего антивируса для имитации регистрации в WSC. Однако тот проект был удалён с GitHub после подачи жалобы по DMCA от разработчика антивируса.
Из блога автора:
Через несколько недель после релиза проект стал довольно популярным, набрав около 1,5 тысяч звезд на GitHub, и после этого разработчики антивируса, чей код я использовал, подали жалобу по DMCA. Я не стал с этим связываться и просто все удалил.
Defendnot избегает проблем с авторским правом, создав все с нуля на основе поддельной DLL-антивируса.
Обычно API WSC защищен через механизмы вроде Protected Process Light (PPL), цифровых подписей и других методов. Чтобы обойти эти защиты, Defendnot требует права администратора и внедряет свою DLL в системный процесс Taskmgr.exe, который уже подписан и считается доверенным. Из этого процесса он регистрирует поддельный антивирус с фейковым именем.
После регистрации Microsoft Defender немедленно отключается, и на устройстве не остается активной защиты.
Инструмент также включает загрузчик, который использует файл ctx.bin для передачи конфигурации — можно задать имя «антивируса», отключить регистрацию или включить подробное логирование.
Для автозапуска Defendnot добавляет задание в Планировщик задач Windows, чтобы запускаться при входе в систему.
Хотя Defendnot позиционируется как исследовательский проект, он демонстрирует, как можно использовать доверенные функции системы для отключения встроенных средств безопасности.
На данный момент Microsoft Defender распознает и помещает Defendnot в карантин как угрозу Win32/Sabsik.FL.!ml.
Последние статьи #Windows
• Microsoft PowerToys 0.99.1: улучшения утилит Grab and Move и Power Display, исправления Палитры команд
• Microsoft заменит анимацию загрузки в Windows 11, оставшуюся со времен Windows 8
• Microsoft PowerToys 0.99.0: перемещение и изменение размера окон «в стиле Linux» и новая утилита Power Display для управления мониторами
• Microsoft улучшила режим сна в Windows 11: меньше пробуждений ПК, больше автономности
• Microsoft улучшает обновления Windows: меньше принудительных перезагрузок и больше контроля
• Windows K2: план Microsoft по развитию Windows 11