近日,开发者兼逆向工程师es3n1n发布了一款名为 Defendnot 的新工具。这款工具为那些不想用第三方杀毒软件替换Windows安全中心(Windows Defender )的用户,提供一种禁用 Defender 的方法。
工具原理:利用未公开文档的API
Defendnot 的核心机制是通过调用一个未公开文档的 Windows 安全中心(WSC)API,向操作系统发送信号,表明系统中已有其他杀毒软件运行。这样一来,Windows 会自动关闭内置的 Defender 功能,而无需安装任何实际的第三方杀毒软件。
这一方法与 es3n1n 去年发布的工具 no-defender 不同。后者通过重用现有杀毒软件的代码来实现类似功能,但由于涉及版权问题,很快收到了 DMCA 下架通知。Defendnot 则是一个“干净的实现”,完全不依赖任何现有的商业杀毒产品代码。
开发过程:逆向工程的挑战
在开发 Defendnot 的过程中,es3n1n 面临了巨大的技术挑战。由于 WSC API 并未公开文档,他们只能通过逆向工程推测其工作原理。最终,es3n1n 成功猜测出 WSC 是如何验证来自真实杀毒软件的调用,并将伪造的杀毒软件 DLL 注入到已签名且受信任的 Windows 进程(如 Taskmgr.exe)中。
为了测试这一工具,es3n1n 创建了一个虚构的杀毒软件,并随意命名,例如“hi2”或“hello readme :)”。Bleeping Computer 的记者甚至利用该工具注册了一个名为“BleepingComputer Antivirus”的假杀毒软件。
一旦 Defendnot 被成功注入并注册,Windows Defender 便会立即退出运行。为了确保重启后仍然生效,Defendnot 会被添加到系统的自动启动项中。
风险警示:没有防御的代价
尽管 Defendnot 提供了一种“巧妙”的方式禁用 Windows Defender,但它也带来了显而易见的安全隐患。由于系统中并没有真正运行的杀毒软件,用户的设备将暴露在病毒和恶意软件的威胁之下,缺乏实时保护。
微软显然已经注意到了这种工具的存在。目前,如果用户尝试下载 Defendnot,Windows Defender 会基于其机器学习算法将其检测为特洛伊木马并进行隔离。使用谷歌Chrome浏览器下载此款工具也会拦截,这意味着,微软、谷歌都明确将此类工具归类为潜在威胁。
开发者的初衷:研究而非破坏
es3n1n 强调,Defendnot 是一个研究项目,展示 Windows 系统中存在的潜在漏洞。这一工具提醒了像微软这样的操作系统制造商,需要更加关注安全机制的设计,以防止被恶意行为者利用。
然而,对于普通用户来说,并不建议使用Defendnot。虽然它可以暂时关闭 Defender,但随之而来的安全风险远远超过了便利性。
评论