Исследователь разработал новый инструмент под названием Defendnot, который может отключить Microsoft Defender на устройствах Windows, зарегистрировав поддельный антивирус, даже если настоящий антивирус не установлен.
Windows уязвима? Фейковый антивирус может деактивировать Microsoft Defender
Метод основан на использовании неофициального API Центра безопасности Windows (WSC), который обычно используют антивирусные программы, чтобы сообщить системе о своей установке и взять на себя управление защитой в реальном времени.
Когда такой антивирус регистрируется, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов между несколькими решениями безопасности.
Инструмент Defendnot (GitHub), разработанный исследователем под псевдонимом es3n1n, использует этот API для регистрации фальшивого антивируса, который проходит все проверки Windows.
Он основан на более раннем проекте no-defender, в котором использовался код стороннего антивируса для имитации регистрации в WSC. Однако тот проект был удалён с GitHub после подачи жалобы по DMCA от разработчика антивируса.
Из блога автора:
Через несколько недель после релиза проект стал довольно популярным, набрав около 1,5 тысяч звезд на GitHub, и после этого разработчики антивируса, чей код я использовал, подали жалобу по DMCA. Я не стал с этим связываться и просто все удалил.
Defendnot избегает проблем с авторским правом, создав все с нуля на основе поддельной DLL-антивируса.
Обычно API WSC защищен через механизмы вроде Protected Process Light (PPL), цифровых подписей и других методов. Чтобы обойти эти защиты, Defendnot требует права администратора и внедряет свою DLL в системный процесс Taskmgr.exe, который уже подписан и считается доверенным. Из этого процесса он регистрирует поддельный антивирус с фейковым именем.
После регистрации Microsoft Defender немедленно отключается, и на устройстве не остается активной защиты.
Инструмент также включает загрузчик, который использует файл ctx.bin для передачи конфигурации — можно задать имя «антивируса», отключить регистрацию или включить подробное логирование.
Для автозапуска Defendnot добавляет задание в Планировщик задач Windows, чтобы запускаться при входе в систему.
Хотя Defendnot позиционируется как исследовательский проект, он демонстрирует, как можно использовать доверенные функции системы для отключения встроенных средств безопасности.
На данный момент Microsoft Defender распознает и помещает Defendnot в карантин как угрозу Win32/Sabsik.FL.!ml.
Последние статьи #Windows
• Инструмент Defendnot: Поддельный антивирус, который может отключить встроенную защиту Windows
• Официальные ISO-образы Windows 11 и Windows 10 (май 2025 года)
• Новые функции Microsoft Edge: умный перевод документов, защита от нежелательных сайтов и ИИ-агенты в браузере
• Microsoft тестирует «Действия ИИ» в Проводнике Windows 11. Как включить новую функцию уже сейчас
• Очередной сбой обновлений Windows 11 — KB5058411 не устанавливается, статьи поддержки бесполезны
• Как работает «Устранение неполадок с помощью Центра обновления Windows» в Windows 11