Появился новый инструмент для тех, кто хочет отключить Windows Defender, не заменяя его конкурирующим антивирусным продуктом (AV). Разработчик и реверс-инженер es3n1n недавно выпустил новый инструмент Defendnot. Программа использует недокументированный API Windows Security Center (WSC), чтобы сообщить ОС о наличии другого включенного антивирусного ПО, тем самым изящно отводя Windows Defender.
В блоге, посвященном разработке Defendnot, es3n1n представляет новый инструмент, подчеркивая, что он является заменой их инструмента no-defender годичной давности. Прародитель Defendnot отключил Windows Defender, использовав сторонний код из существующего AV-продукта. Неудивительно, что на него поступил запрос DCMA... Defendnot начинался как попытка создать «чистую реализацию» предыдущего проекта, без каких-либо «донорских» AV. Это было нелегко, поскольку WSC не документирован (публично).
Опираясь на предыдущий опыт, es3n1n правильно угадал, как WSC проверяет вызовы, сделанные настоящими AV-продуктами. Поэтому они внедрили код в этот процесс, и сразу же получили многообещающие результаты. В блоге показан «новый антивирус, который я зарегистрировал», и видно, что он имеет произвольное название „hi2“. Спустя много времени (около трех дней) es3n1n усовершенствовал свой инструмент Defendnot, внедрив поддельную AV DLL в уже подписанный и доверенный процесс диспетчера задач Windows (Taskmgr.exe).
Оттуда он может зарегистрировать поддельный AV-инструмент под любым именем. Если вы заглянете на сайт Bleeping Computer, их репортер сделал поддельный антивирус под названием BleepingComputer Antivirus, используя Defendnot для еще большего веселья. После установки и регистрации Defendnot Microsoft Defender немедленно отключается.
Поскольку приложение Defendnot на самом деле не является антивирусной программой, это сделает вас уязвимым для вирусов и других вредоносных программ, поскольку у вас не будет включен сканер реального времени. Чтобы ваши новые «антивирусные» и WSC-импликации работали между перезагрузками, Defendnot добавляется в автозагрузку Windows.
Microsoft классифицирует Defendnot как троян Это довольно пугающе, что легитимная программа AV может быть подделана таким образом, но как «исследовательский проект» это предупреждает производителей ОС, таких как Microsoft, о потенциальных уязвимостях, которые могут быть использованы плохими игроками. Если вы загрузите инструмент Defendnot сегодня, Microsoft Defender уже начнет обнаруживать и помещать его в карантин как троян, основываясь на алгоритмах машинного обучения.
Оригинал
Уникальность
Последнее редактирование:
