Defendnot工具近日引发技术圈关注,这款由逆向工程师es3n1n开发的全新程序,专门为希望禁用Windows Defender却不愿安装第三方杀毒软件的用户打造。其核心原理是通过调用未公开的Windows安全中心(WSC)应用程序接口,向系统传递已启用其他杀毒程序的虚假信息,从而巧妙关闭系统自带的防护功能。
在技术博客中,es3n1n透露该工具是其早期项目“no-defender”的迭代升级。前代工具因复用第三方杀毒软件代码,遭到数字千年版权法案(DCMA)下架处理。新版Defendnot采用全新开发思路,完全摒弃对其他杀毒程序代码的依赖——由于缺乏WSC接口的官方文档,这项逆向工程成为开发过程中的最大挑战。
经过深入研究,es3n1n成功破解了WSC验证合法杀毒软件的底层机制。通过代码注入技术,开发者实现了令人称奇的演示效果:在博客公布的截图中,一个随意命名的“hi2”虚拟杀毒程序成功通过验证,另一张GitHub展示的截屏则显示注册名为“hello readme:)”的防护程序。
经过三天技术攻坚,es3n1n最终选择将伪造的杀毒程序动态链接库注入系统可信进程Taskmgr.exe(任务管理器)。这种创新方式赋予用户高度自定义权限,Bleeping Computer网站记者就曾使用该工具创建名为“BleepingComputer Antivirus”的虚拟防护程序。
当Defendnot成功注入后,Microsoft Defender会立即停止运行。需要注意的是,由于这个虚拟防护程序不具备实际查杀能力,系统将完全暴露在安全威胁中。为实现持续生效,该工具会被添加至Windows启动项。
尽管这种仿冒合法防护软件的技术存在安全隐患,但作为研究项目,它向微软等厂商揭示了可能被恶意利用的系统漏洞。目前Microsoft Defender已通过机器学习算法将Defendnot识别为木马程序并实施隔离。
