Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Defendnot отключает защиту Microsoft Defender

2 мин
Изображение: recraft Исследователь под псевдонимом es3n1n представил новый инструмент, получивший название «Defendnot». Его применение позволяет отключить Microsoft Defender на устройствах с Windows, не прибегая к удалению или вмешательству в системные службы. Суть манипуляции — в регистрации фиктивного антивируса, которой достаточно, чтобы встроенная защита перестала функционировать. Как сообщают журналисты BleepingComputer, программа взаимодействует с внутренними механизмами Центра безопасности Windows, применяя скрытый API. Именно этот компонент операционной системы отвечает за координацию работы защитных решений и отключает Defender при обнаружении стороннего антивируса, чтобы не создавать конфликт между приложениями. В данном случае речь идёт о регистрации несуществующего антивируса, который Windows воспринимает как реальный. После этого Microsoft Defender прекращает свою работу, считая, что функции защиты теперь выполняются другим решением. Эксперт подчеркнул, что новый инструмен

Изображение: recraft

Исследователь под псевдонимом es3n1n представил новый инструмент, получивший название «Defendnot». Его применение позволяет отключить Microsoft Defender на устройствах с Windows, не прибегая к удалению или вмешательству в системные службы. Суть манипуляции — в регистрации фиктивного антивируса, которой достаточно, чтобы встроенная защита перестала функционировать.

Как сообщают журналисты BleepingComputer, программа взаимодействует с внутренними механизмами Центра безопасности Windows, применяя скрытый API. Именно этот компонент операционной системы отвечает за координацию работы защитных решений и отключает Defender при обнаружении стороннего антивируса, чтобы не создавать конфликт между приложениями.

В данном случае речь идёт о регистрации несуществующего антивируса, который Windows воспринимает как реальный. После этого Microsoft Defender прекращает свою работу, считая, что функции защиты теперь выполняются другим решением. Эксперт подчеркнул, что новый инструмент стал развитием удалённого ранее проекта no-defender, на который было подано заявление о нарушении авторских прав. Новый подход построен без заимствования чужого кода и использует самостоятельно написанную DLL.

Особую опасность исследователи видят в методе обхода системной защиты. «Defendnot» внедряет фиктивную библиотеку в доверенный системный процесс Taskmgr.exe. Подпись этого процесса признана Microsoft как надёжная, и это позволяет инструменту обойти стандартные ограничения, включая проверку цифровых подписей и механизм PPL (Protected Process Light).

Как уточняют специалисты, после активации фиктивного антивируса в системе, встроенный Defender отключается автоматически. При этом никаких уведомлений о неработающей защите пользователь не получает, а устройство остаётся полностью уязвимым.

Инструмент Defendnot оснащён встроенным загрузчиком, который использует файл с именем ctx.bin для передачи конфигурации. Через него задаются параметры, включая название подставного антивируса, активация или отключение фиктивной регистрации, а также включение расширенного логирования. Такая гибкость позволяет использовать утилиту в разных сценариях и адаптировать её поведение под конкретные задачи.

Оригинал публикации на сайте CISOCLUB: "Хакеры нашли способ обмануть Windows и обойти защиту Microsoft Defender без следов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.