Исследователь представил утилиту Defendnot, отключающую Microsoft Defender через поддельную регистрацию антивируса
Исследователь безопасности, известный под псевдонимом es3n1n, выпустил утилиту Defendnot, позволяющую отключить Microsoft Defender на Windows-устройствах без установки стороннего антивируса. Инструмент использует недокументированный API Центра безопасности Windows (WSC), предназначенный для регистрации антивирусных решений.
При установке стороннего антивируса Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов между программами. Defendnot имитирует наличие стороннего антивируса, регистрируя фиктивный продукт, который проходит все проверки Windows, что приводит к отключению Defender.
Предыдущий проект es3n1n, no-defender, использовал код существующего антивируса для регистрации в WSC, но был удалён с GitHub после DMCA-уведомления от правообладателя. Defendnot является "чистой" реализацией, не зависящей от стороннего кода.
Microsoft Defender уже распознаёт Defendnot как угрозу под именем "Win32/Sabsik.FL.!ml" и помещает его в карантин.
Официальный репозиторий: https://github.com/es3n1n/defendnot
