Появилось новое решение для пользователей, желающих временно деактивировать встроенную защиту Windows - Windows Defender, не устанавливая взамен другой антивирус. Реверс - инженером и специалистом по обратному инжинирингу под никнеймом es3n1n разработан специальный инструмент Defendnot, который обманывает операционную систему, сообщая ей, будто активировано альтернативное защитное ПО. Таким образом, Windows Defender автоматически прекращает свою активность, освобождая ресурсы системы.

Этот инструмент стал продолжением предыдущей разработки автора, представленной около года назад. Тогда была создана утилита, позволяющая блокировать Windows Defender путем повторного использования компонентов другого антивируса. Однако такая реализация вызвала претензии правообладателей и вскоре исчезла вследствие DMCA-запросов на удаление. Теперь же Defendnot разрабатывался с нуля и основан исключительно на собственных исследованиях es3n1n относительно внутренней архитектуры Windows Security Center (WSC).

Автор сумел разгадать алгоритм проверки подлинности антивирусных продуктов внутри ядра операционной системы, позволившему создавать фейковые компоненты защитных решений. Например, он продемонстрировал возможность регистрации собственного фиктивного антивируса под названием «hi2» («привет») и даже создаваемого непосредственно в диспетчере задач (Task Manager). Другие пользователи пошли дальше и создали аналогичные инструменты с именами вроде «BleepingComputer Antivirus», доказывая универсальность подхода.

Несмотря на эффективность, использование Defendnot потенциально опасно. После запуска ваш компьютер останется совершенно без активной антивирусной защиты, поскольку сам Defendnot никакими функциями сканирования вирусов не обладает. Для удобства разработчиком предусмотрена автозагрузка программы вместе с системой, что гарантирует постоянное состояние отключения оригинального защитника Windows Defender.

Однако радость разработчиков оказалась кратковременной: спустя некоторое время корпорация Microsoft начала идентифицировать Defendnot как потенциальный троян благодаря продвинутым механизмам анализа поведения и самообучающимся алгоритмам обнаружения угроз. Хотя изначально инструмент задумывался лишь как исследовательская работа, демонстрирующая уязвимости операционной системы, теперь он признан опасным элементом.

Таким образом, хотя идея обхода стандартной защиты привлекала внимание энтузиастов и исследователей, в реальности подобные методы становятся предметом пристального внимания корпораций-разработчиков, стремящихся защитить своих пользователей от несанкционированных манипуляций с системами безопасности.