solidot新版网站常见问题,请点击这里查看。
消息
本文已被查看 4049 次
Defendnot 工具欺骗 Windows 禁用 Microsoft Defender
杀毒软件会使用 Windows Security Center (WSC) API 通知 Windows 已安装并执行实时保护。为避免操作系统同时运行多个安全软件导致冲突,Windows 会禁用系统自带的安全软件 Microsoft Defender。研究员 es3n1n 开发了名为 Defendnot 的工具滥用了该 API,通过注册虚假的杀毒软件去禁用 Microsoft Defender。Defendnot 是基于一个已删除的项目 no-defender,no-defender 使用了第三方杀毒软件的代码去伪造 WSC 注册,在该杀毒软件开发商递交了 DMCA 删除申请后,开发者从 GitHub 下架了 no-defender。Defendnot 利用虚假的杀毒软件 DLL 规避了版权问题。WSC API 受到 Protected Process Light (PPL)、有效数字签名和其他功能的保护。Defendnot 通过将 DLL 注入到已由微软签名并信任的系统进程 Taskmgr.exe 中绕过了这些要求。
BleepingComputer:New 'Defendnot' tool tricks Windows into disabling Microsoft Defender
github.com/es3n1n/defendnot
BleepingComputer:New 'Defendnot' tool tricks Windows into disabling Microsoft Defender
github.com/es3n1n/defendnot
