Новый инструмент Defendnot, разработанный «белым хакером» es3n1n, использует недокументированный API «Центра безопасности Windows» (WSC) для отключения встроенного защитника Microsoft Defender. Этот API предназначен для регистрации антивирусных продуктов в системе: когда сторонний антивирус активируется, Windows автоматически выключает Defender, чтобы избежать конфликтов. Defendnot имитирует установку поддельного антивируса, который проходит все проверки системы, заставляя Defender прекратить работу.
Инструмент внедряет фиктивную антивирусную DLL в системный процесс Taskmgr.exe, подписанный Microsoft. Это позволяет обойти защиту Protected Process Light (PPL) и требования к цифровым подписям. После активации поддельного антивируса, Defender мгновенно отключается, оставляя устройство без активной защиты. Кроме того, Defendnot включает загрузчик, который считывает настройки из файла ctx.bin, позволяя, например, задать имя фейкового продукта или включить детальное логирование.
Defendnot стал развитием более раннего проекта no-defender, который завершился из-за жалобы на нарушение DMCA (Digital Millennium Copyright Act). es3n1n пояснил, что после получения 1,5 тысяч звезд на GitHub, раз разработчики антивируса, чей код он заимствовал, подали DMCA-запрос, он просто закрыл проект. В новой версии исследователь сумел избежать юридических рисков, создавая функциональность с нуля и обходя зависимости от чужого кода.
Несмотря на исследовательский характер проекта, Defendnot демонстрирует, как злоумышленники могут эксплуатировать доверенные системные процессы для деактивации безопасности. Microsoft уже классифицирует Defendnot как угрозу