一款名为”Defendnot” 的新工具能够通过注册虚假杀毒产品,在未安装真实杀毒软件的情况下禁用 Windows 设备上的 Microsoft Defender 。该工具利用了 Windows 安全中心(WSC)一个未公开的 API 接口。正常情况下,杀毒软件会通过此接口向 Windows 系统宣告其已安装并接管设备的实时保护功能。当系统检测到第三方杀毒软件注册时,便会自动禁用 Microsoft Defender 以避免多款安全软件同时运行产生冲突。研究人员 es3n1n 开发的 “Defendnot” 工具通过注册一个能通过所有 Windows 验证检查的虚假杀毒产品,成功滥用了这一机制。该工具基于早前名为”no-defender” 的项目改进而来,原项目因使用第三方杀毒软件代码进行 WSC 注册欺骗,在杀软厂商发起 DMCA 下架要求后被 GitHub 移除。
Defendnot 通过完全自主编写的虚拟杀毒软件 DLL 文件规避了版权问题。通常情况下,WSC API 受到受保护进程(PPL)、有效数字签名等多重机制保护。为绕过这些限制,该工具将其 DLL 文件注入已获微软信任的系统进程 Taskmgr.exe 中,进而使用伪造的显示名称完成虚假杀毒软件注册。注册成功后,Microsoft Defender 会立即自动关闭,导致设备失去实时防护。工具还包含一个加载程序,可通过 ctx.bin 配置文件设置杀毒软件名称、关闭注册功能或启用详细日志记录。为实现持久化运行,Defendnot 会通过 Windows 任务计划程序创建自启动项。
尽管 Defendnot 被定位为研究项目,但它揭示了攻击者如何利用受信任的系统功能关闭安全防护。目前 Microsoft Defender 已将该工具检测为”Win32/Sabsik.FL.!ml” 威胁并进行隔离。
