Новый метод обхода встроенной защиты Windows вызвал интерес специалистов по кибербезопасности. Независимый исследователь, выступающий под псевдонимом es3n1n,
Ссылка скрыта от гостей
инструмент под названием Defendnot, который способен отключать Microsoft Defender без необходимости установки стороннего ПО.Суть подхода заключается в использовании логики работы Центра безопасности Windows — эта служба автоматически деактивирует встроенный антивирус, если в системе обнаружен другой защитный продукт. Defendnot регистрирует несуществующее антивирусное приложение, обманывая систему и инициируя отключение Defender.
Особенность инструмента в том, что он применяет инъекцию динамически подключаемой библиотеки (DLL) в доверенный системный процесс taskmgr.exe (Диспетчер задач). Это позволяет получить расширенные привилегии и обойти стандартные ограничения безопасности. Таким образом, Defender выключается, хотя никакой реальной защиты от подставного ПО не обеспечивается.
По словам автора, разработка носит исключительно исследовательский характер. Однако Microsoft уже классифицировала Defendnot как потенциально опасную программу с идентификатором Win32/Sabsik.FL.!ml, а эксперты предупреждают: если подобный подход попадёт в руки злоумышленников, он может быть использован для сокрытия вредоносной активности.
Инцидент также вновь поднял вопросы о надёжности архитектуры безопасности Windows. Несмотря на внедрённые механизмы защиты, практика показывает, что при наличии достаточных знаний они могут быть обойдены.
