Defendnot tool由研究人员 es3n1n 创建的Defendnot工具通过注册符合所有Windows验证检查的假防病毒产品来滥用此API。

该工具基于之前一个名为“无防御者”的项目,该项目使用来自第三方防病毒产品的代码来欺骗WSC注册。早些时候的工具是在供应商提交DMCA删除后从GitHub中提取的。

“然后,在发布几周后,该项目爆炸了不少,获得了约1.5万颗星,之后,我使用的防病毒软件的开发人员提交了DMCA删除请求,我真的不想做任何事情,所以只是抹去了所有内容并称之为一天t”开发人员在一篇博客文章中解释道。

Defendnot通过虚拟防病毒DLL从头开始构建功能来避免版权问题。

通常,WSC API通过Protected Process Light(PPL),有效的数字签名和其他功能进行保护。

要绕过这些要求,Defendnot 需要管理权限,它可以将其 DLL 注入到系统进程 Taskmgr.exe,该进程已由 Microsoft 签名且已经信任。从该过程中,它可以使用欺骗显示名称注册虚拟防病毒软件。

注册后,Microsoft Defender立即关闭自己,在设备上没有留下任何主动保护。

该工具还包括一个加载器,该加载器通过ctx.bin文件传递配置数据,并允许您设置要使用的防病毒名称,关闭注册并启用冗长的日志记录。

对于持久性,Defendnot 会通过 Windows 任务计划程序创建自动运行,以便在登录 Windows 时启动。

虽然Defendnot被认为是一个研究项目,但该工具演示了如何操纵可信的系统功能以关闭安全功能。

Microsoft Defender 目前正在检测和隔离 Defendnot 为 ‘Win32/Sabsik.FL . !ml;检测。