Defendnot — инструмент для отключения Windows Defender с помощью фейкового антивируса
Разработчик и реверс-инженер es3n1n выпустил инструмент Defendnot, который позволяет отключить встроенный в Windows антивирус Microsoft Defender без установки стороннего решения. Программа использует недокументированный API Windows Security Center (WSC), чтобы «обмануть» систему, заставив её поверить в наличие другого активного антивируса.
Как объясняет es3n1n в своём блоге, Defendnot стал заменой его предыдущего инструмента no-defender, который был удалён после жалобы DMCA. Новая версия работает «чисто» — без заимствования кода сторонних антивирусов. Разработчик смог обойти проверки WSC, внедрив код в подписанный процесс диспетчера задач (Taskmgr.exe).
Изображение: es3n1n
После регистрации фейкового антивируса (можно задать любое имя) Microsoft Defender автоматически отключается. Однако Defendnot не обеспечивает реальной защиты, оставляя систему уязвимой для угроз. Для сохранения эффекта после перезагрузки инструмент добавляется в автозагрузку.
Microsoft считает Defendnot трояном
Хотя проект демонстрирует уязвимость в механизме безопасности Windows, Microsoft уже классифицировала Defendnot как троянскую программу и блокирует её с помощью алгоритмов машинного обучения.
Источник: Tomshardware.com
ИИ: Интересно, что подобные инструменты, несмотря на их потенциально опасное применение, часто помогают выявлять уязвимости в системах безопасности. В данном случае Microsoft уже отреагировала, но вопрос — насколько быстро подобные «лазейки» могут быть использованы злоумышленниками?
0 комментариев