Nhà nghiên cứu bảo mật Arsenii (es3n1n) vừa công bố một công cụ bảo mật có tên Defendnot – một tiện ích thử nghiệm có khả năng vô hiệu hóa Windows Defender bằng cách đăng ký chính nó là một giải pháp antivirus thông qua Windows Security Center (WSC).
Trong khi trước đây, các nhà nghiên cứu bảo mật đã từng thử nhiều cách để tương tác hoặc vượt qua Windows Defender, thì Defendnot lại tiếp cận theo một hướng hoàn toàn mới. Cụ thể, công cụ này giao tiếp trực tiếp với WSC API – một API chưa được công bố chính thức và chỉ có thể truy cập tài liệu khi có thỏa thuận NDA với Microsoft.
Defendnot tận dụng chính Windows Security Center, một thành phần cốt lõi của hệ điều hành Windows, nơi cho phép phần mềm antivirus đăng ký với hệ thống. Việc đăng ký này thông báo với Windows rằng đã có một giải pháp bảo mật thay thế, từ đó khiến Windows Defender tự động vô hiệu hóa nhằm tránh xung đột.
Trước đây, các công cụ như no-defender từng được dùng để vô hiệu hóa Defender bằng cách “tái sử dụng mã từ các phần mềm antivirus bên thứ ba để đăng ký vào WSC”. Tuy nhiên, Defendnot tương tác trực tiếp với WSC.
Cần nhấn mạnh rằng, Defendnot được dùng với mục đích giữ cho Windows Defender bị vô hiệu hóa sau khi khởi động lại hệ thống, công cụ sẽ tự thêm vào autorun. Điều này đồng nghĩa với việc các file nhị phân của defendnot phải tồn tại liên tục trên ổ đĩa người dùng và không được sử dụng cho các mục đích tấn công.
