Исследователь под псевдонимом es3n1n представил инструмент под названием Defendnot, способный отключить встроенную защиту Windows — Microsoft Defender — путём регистрации поддельного антивируса в системе. Утилита работает через API Windows Security Center (WSC), который используется легитимными антивирусами для взаимодействия с системой и управления защитой в реальном времени.

Как это работает

Defendnot регистрируется в WSC как якобы установленный антивирус. В соответствии с логикой Windows, это приводит к автоматическому отключению Microsoft Defender во избежание конфликта между защитными решениями. Для выполнения всех операций утилите требуются права администратора. Кроме того, Defendnot внедряется в доверенный процесс Taskmgr.exe, который уже имеет цифровую подпись Microsoft и считается безопасным. Это позволяет обойти ограничения, наложенные системой на регистрацию антивирусов через WSC.

Технические особенности

В отличие от ранее существовавшего проекта no-defender, который использовал чужой код и был удалён с GitHub из-за DMCA-жалобы, Defendnot полностью переписан «с нуля» — включая имитацию DLL-библиотеки антивируса, что позволяет избежать проблем с авторскими правами.

Утилита поставляется с конфигурационным загрузчиком, использующим файл ctx.bin. В нём можно задать:

  • название фейкового антивируса,

  • включить или отключить регистрацию в WSC,

  • активировать режим подробного логирования.

Также предусмотрена автоматизация запуска — через добавление задания в Планировщик задач Windows для старта при входе пользователя в систему.

Реакция Microsoft

Несмотря на то, что автор позиционирует проект как исследовательский, Defendnot демонстрирует уязвимость в логике доверия системы, которая может быть использована для деактивации встроенной защиты без установки альтернативного антивируса. На текущий момент Microsoft Defender классифицирует Defendnot как угрозу: Win32/Sabsik.FL.!ml и блокирует его запуск.

🔗 GitHubDefendnot
📝 ПодробнееБлог автора (замените на реальную ссылку)

Этот случай поднимает вопросы о безопасности API WSC и необходимости дополнительных проверок со стороны Microsoft.

Новые В Windows 11 появится новая функция, позволяющая продолжить работу на другом устройстве. Это аналог Handoff из macOS, обеспечивающий бесшовный переход с мобильного телефона на компьютер.
Обратно к списку
Старее Купить ноутбук с процессором MediaTek, графическим процессором Nvidia и операционной системой Windows в ближайшее время не удастся. Производители пока не проявляют интереса к использованию чипов MediaTek в таких устройствах.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *