Новый инструмент Defendnot, разработанный «белым хакером» es3n1n, использует недокументированный API «Центра безопасности Windows» (WSC) для отключения встроенного защитника Microsoft Defender. Этот API предназначен для регистрации антивирусных продуктов в системе: когда сторонний антивирус активируется, Windows автоматически выключает Defender, чтобы избежать конфликтов. Defendnot имитирует установку поддельного антивируса, который проходит все проверки системы, заставляя Defender прекратить работу. Для этого инструмент внедряет фиктивную антивирусную DLL в системный процесс Taskmgr.exe, подписанный Microsoft, что позволяет обойти защиту Protected Process Light (PPL) и требования к цифровым подписям.
Defendnot стал развитием более раннего проекта no-defender, который использовал код стороннего антивируса для подделки регистрации в WSC. Однако из-за жалобы на нарушение DMCA (Digital Millennium Copyright Act) репозиторий no-defender был удалён с GitHub. «После набора 1,5 тысяч звезд разработчики антивируса, чей код я заимствовал, подали DMCA-запрос. Я не стал оспаривать и просто закрыл проект», — пояснил es3n1n. В новой версии исследователь избежал юридических рисков, создав функциональность с нуля, включая генерацию фиктивного имени антивируса и обход зависимостей от чужого кода.
После регистрации поддельного антивируса Defender мгновенно отключается, оставляя устройство без активной защиты. Defendnot также включает загрузчик, который считывает настройки из файла ctx.bin — например, позволяет задать имя фейкового продукта или включить детальное логирование. Для сохранения работоспособности инструмент создаёт задание в «Планировщике задач Windows», обеспечивая автозапуск при каждом входе в систему. Несмотря на исследовательский характер проекта, он демонстрирует, как злоумышленники могут эксплуатировать доверенные системные процессы для деактивации безопасности.
Microsoft уже помечает Defendnot как угрозу "Win32/Sabsik.FL.!ml;" и перемещает его в карантин. Однако история с защитником вызывает вопросы о его точности: в 2024 году пользователи жаловались, что Defender ошибочно определял обычный текстовый файл с фразой "This content is no longer available" как троян (Trojan:Win32/Casdet!rfn). Хотя сначала предполагали коллизию SHA-256, проблема оказалась глубже — только антивирусная система считала файл опасным. Эти случаи подчёркивают как уязвимости в механизмах защиты Windows, так и риски избыточной агрессивности детектирования.