1748635491948.png

🔍 Обзор​


Defendnot — это инструмент, позволяющий отключить Microsoft Defender, встроенный антивирус Windows, путём регистрации фиктивного антивирусного продукта через недокументированный API Windows Security Center (WSC). Это приводит к тому, что Windows считает, что установлен другой антивирус, и автоматически отключает Defender, чтобы избежать конфликтов между двумя защитными программами.

Проект является продолжением предыдущей разработки автора под названием no-defender, которая была удалена с GitHub после DMCA-запроса из-за использования кода стороннего антивируса. В отличие от предшественника, Defendnot был полностью переписан с нуля, без использования чужого кода, что позволило избежать проблем с авторскими правами.

⚙️ Как работает Defendnot​


Defendnot использует следующие методы для достижения своей цели:
  1. Регистрация фиктивного антивируса: С помощью недокументированного API WSC инструмент регистрирует несуществующий антивирус, что заставляет Windows отключить Defender.
  2. Инъекция в доверенный процесс: Для обхода проверок подлинности, Defendnot внедряет свою DLL в процесс Taskmgr.exe, который подписан и доверен Microsoft. Это позволяет обойти защитные механизмы, такие как Protected Process Light (PPL).
  3. Создание задачи автозапуска: Для обеспечения постоянства, инструмент создаёт задачу в Планировщике заданий Windows, которая запускается при входе пользователя в систему.
  4. Конфигурация через ctx.bin: Defendnot использует файл ctx.bin для передачи параметров конфигурации, таких как имя фиктивного антивируса, режимы запуска и другие настройки.

🚨 Ограничения и риски​

  • Не работает на Windows Server: Служба WSC отсутствует в серверных версиях Windows, поэтому Defendnot не функционирует на этих системах.
  • Обнаружение Defender: Microsoft Defender уже начал обнаруживать и помещать в карантин Defendnot как угрозу Win32/Sabsik.FL.!ml.
  • Необходимость отключения защитных механизмов: Для установки Defendnot требуется временно отключить защиту в реальном времени и защиту от несанкционированных изменений, иначе Defender заблокирует установку.
  • Оставляет систему без защиты: После отключения Defender и без установки другого антивируса, система остаётся без активной защиты, что делает её уязвимой для вредоносных программ.

🧪 Возможные легитимные применения​


Хотя Defendnot может быть использован в злонамеренных целях, существуют и легитимные сценарии его использования:
  • Тестирование производительности: Отключение Defender может быть полезно для оценки производительности системы без влияния антивируса.
  • Исследования в области безопасности: Анализ работы WSC и методов обхода защитных механизмов может быть полезен для специалистов по информационной безопасности.
  • Образовательные цели: Изучение внутренней работы Windows и её защитных механизмов.

📥 Установка и использование​


Для установки Defendnot можно использовать следующий однострочник в PowerShell (с правами администратора):
Код: 
irm https://dnot.sh/ | iex
Дополнительные параметры установки и использования можно найти в репозитории проекта.

📚 Дополнительные ресурсы​


Defendnot демонстрирует, как можно использовать легитимные механизмы Windows для обхода встроенных защитных функций. Это подчёркивает важность постоянного мониторинга и обновления систем безопасности, а также необходимость осторожного подхода к использованию подобных инструментов.