Исследователь разработал новый инструмент под названием Defendnot, который может отключить Microsoft Defender на устройствах Windows, зарегистрировав поддельный антивирус, даже если настоящий антивирус не установлен.
Windows уязвима? Фейковый антивирус может деактивировать Microsoft Defender
Метод основан на использовании неофициального API Центра безопасности Windows (WSC), который обычно используют антивирусные программы, чтобы сообщить системе о своей установке и взять на себя управление защитой в реальном времени.
Когда такой антивирус регистрируется, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов между несколькими решениями безопасности.
Инструмент Defendnot (GitHub), разработанный исследователем под псевдонимом es3n1n, использует этот API для регистрации фальшивого антивируса, который проходит все проверки Windows.
Он основан на более раннем проекте no-defender, в котором использовался код стороннего антивируса для имитации регистрации в WSC. Однако тот проект был удалён с GitHub после подачи жалобы по DMCA от разработчика антивируса.
Из блога автора:
Через несколько недель после релиза проект стал довольно популярным, набрав около 1,5 тысяч звезд на GitHub, и после этого разработчики антивируса, чей код я использовал, подали жалобу по DMCA. Я не стал с этим связываться и просто все удалил.
Defendnot избегает проблем с авторским правом, создав все с нуля на основе поддельной DLL-антивируса.
Обычно API WSC защищен через механизмы вроде Protected Process Light (PPL), цифровых подписей и других методов. Чтобы обойти эти защиты, Defendnot требует права администратора и внедряет свою DLL в системный процесс Taskmgr.exe, который уже подписан и считается доверенным. Из этого процесса он регистрирует поддельный антивирус с фейковым именем.
После регистрации Microsoft Defender немедленно отключается, и на устройстве не остается активной защиты.
Инструмент также включает загрузчик, который использует файл ctx.bin для передачи конфигурации — можно задать имя «антивируса», отключить регистрацию или включить подробное логирование.
Для автозапуска Defendnot добавляет задание в Планировщик задач Windows, чтобы запускаться при входе в систему.
Хотя Defendnot позиционируется как исследовательский проект, он демонстрирует, как можно использовать доверенные функции системы для отключения встроенных средств безопасности.
На данный момент Microsoft Defender распознает и помещает Defendnot в карантин как угрозу Win32/Sabsik.FL.!ml.
Последние статьи #Windows
• Windows 11 Build 28020.1546 (Canary): Обновление KB5074176 для Windows 11, версия 26H1
• Microsoft интегрирует Sysmon напрямую в Windows 11 и Windows Server 2025
• Microsoft планирует добавить верхнюю панель меню в Windows 11 через PowerToys
• Обновление KB5074177 (Build 26220.7752) для Windows 11, версия 25H2 (Beta)
• Обновление KB5074178 (Build 26300.7733) для Windows 11, версия 25H2 (Dev)
• Microsoft упростила включение Smart App Control в Windows 11 — переустановка больше не нужна