【安全资讯】新工具'Defendnot'欺骗Windows禁用Microsoft Defender

概要：

近日，一款名为'Defendnot'的新工具被发现能够通过注册虚假的杀毒软件产品，欺骗Windows系统禁用Microsoft Defender。这一安全漏洞的出现引发了广泛关注，尤其是在网络安全领域，因其可能导致用户设备失去保护，面临更大的安全风险。

主要内容：

'Defendnot'工具由研究人员es3n1n开发，利用了Windows安全中心（WSC）API的一个未记录功能。该API通常用于告知Windows某个杀毒软件已安装并正在管理设备的实时保护。当一个杀毒程序被注册后，Windows会自动禁用Microsoft Defender，以避免多个安全应用程序之间的冲突。

该工具通过注册一个符合Windows验证检查的虚假杀毒产品，成功地使Microsoft Defender关闭。与之前的项目no-defender不同，Defendnot通过从头构建功能，避免了版权问题。它将一个虚假的杀毒DLL注入到一个已被Microsoft信任的系统进程Taskmgr.exe中，从而实现了对WSC API的滥用。

一旦注册成功，Microsoft Defender会立即关闭，导致设备失去任何主动保护。Defendnot还包含一个加载器，可以通过ctx.bin文件传递配置数据，允许用户设置所需的杀毒软件名称，并创建一个通过Windows任务调度程序的自启动项，确保在用户登录Windows时自动启动。尽管Defendnot目前被视为研究项目，但它展示了如何操控受信任的系统功能来关闭安全特性，给用户带来了潜在的安全隐患。