Евгений Савченков

Новый инструмент Defendnot, разработанный «белым хакером» es3n1n, использует недокументированный API «Центра безопасности Windows» (WSC) для отключения встроенного защитника Microsoft Defender. Этот API предназначен для регистрации антивирусных продуктов в системе: когда сторонний антивирус активируется, Windows автоматически выключает Defender, чтобы избежать конфликтов. Defendnot имитирует установку поддельного антивируса, который проходит все проверки системы, заставляя Defender прекратить работу. Для этого инструмент внедряет фиктивную антивирусную DLL в системный процесс Taskmgr.exe, подписанный Microsoft, что позволяет обойти защиту Protected Process Light (PPL) и требования к цифровым подписям. Defendnot стал развитием более раннего проекта no-defender, который использовал код стороннего антивируса для подделки регистрации в WSC. Однако из-за жалобы на нарушение DMCA (Digital Millennium Copyright Act) репозиторий no-defender был удалён с GitHub. «После набора 1,5 тысяч звезд р