Специалист по информационной безопасности представил новый инструмент Defendnot, демонстрирующий серьезную уязвимость в системе защиты Windows. Утилита позволяет деактивировать Microsoft Defender путем регистрации фиктивного антивирусного продукта через недокументированный API Windows Security Center (WSC), даже при отсутствии реального антивирусного ПО на устройстве.
Механизм работы и технические особенности Defendnot
Defendnot использует недокументированные возможности WSC API для эмуляции установки легитимного антивирусного решения. При обнаружении нового антивируса операционная система Windows автоматически отключает встроенную защиту Microsoft Defender во избежание конфликтов между параллельно работающими защитными механизмами.
Для обхода встроенных механизмов безопасности, включая Protected Process Light (PPL) и проверку цифровых подписей, инструмент внедряет специальную DLL в доверенный системный процесс Taskmgr.exe. Это позволяет зарегистрировать фиктивный антивирус от имени процесса, подписанного Microsoft.
Расширенная функциональность и персистентность
В состав Defendnot входит конфигурационный загрузчик, работающий через файл ctx.bin, который позволяет настраивать различные параметры, включая имя эмулируемого антивируса, отключение системы логирования и ведение подробных журналов работы. Для обеспечения постоянного присутствия в системе инструмент интегрируется в автозагрузку через Windows Task Scheduler.
История развития и правовые аспекты
Defendnot является усовершенствованной версией предыдущего проекта no-defender, который был удален с GitHub после получения DMCA-жалобы от производителя антивирусного ПО. Новая версия создана с нуля и использует собственную реализацию необходимой функциональности, что исключает проблемы с авторскими правами.
В настоящее время Microsoft Defender успешно детектирует Defendnot как потенциально вредоносное ПО (классификация Win32/Sabsik.FL.!ml) и помещает его в карантин. Данная ситуация подчеркивает важность своевременного обновления антивирусных баз и поддержания актуальных версий защитного программного обеспечения для противодействия новым методам обхода системы безопасности.
