Công cụ bảo vệ công cụ được ném là 'một cách thậm chí vui hơn để vô hiệu hóa Windows Defender

Có một công cụ mới dành cho những ai muốn vô hiệu hóa Windows Defender mà không cần thay thế bằng phần mềm diệt virus khác. Nhà phát triển es3n1n vừa ra mắt công cụ Defendnot, sử dụng một API chưa được tài liệu hóa của Windows Security Center để thông báo cho hệ điều hành rằng có phần mềm diệt virus khác đang hoạt động, từ đó tắt Windows Defender một cách nhẹ nhàng. Trong một bài viết trên blog về quá trình phát triển Defendnot, es3n1n đã giới thiệu công cụ mới này như một sự thay thế cho công cụ no-defender của họ từ một năm trước.

Tổ tiên của Defendnot đã vô hiệu hóa Windows Defender bằng cách tái sử dụng mã từ một sản phẩm diệt virus khác. Không có gì ngạc nhiên khi họ nhận được yêu cầu gỡ bỏ theo DCMA. Defendnot bắt đầu với mục tiêu tạo ra một "triển khai sạch" của dự án trước đó mà không sử dụng mã từ sản phẩm diệt virus khác. Điều này không dễ dàng vì WSC không được tài liệu công khai. Dựa vào kinh nghiệm trước đó, es3n1n đã đoán đúng cách WSC xác thực các cuộc gọi từ các sản phẩm diệt virus hợp pháp.

Họ đã chèn mã vào quy trình này và đạt được kết quả hứa hẹn ngay lập tức. Blog cho thấy một "phần mềm diệt virus mới tôi đã đăng ký", được đặt tên tùy ý là 'hi2'. Trong ảnh chụp màn hình từ GitHub, nó còn được gọi là hello readme. Sau ba ngày, es3n1n đã hoàn thiện công cụ Defendnot của họ bằng cách chèn DLL của phần mềm diệt virus giả vào quy trình Task Manager Taskmgr đã được ký và tin cậy.

Từ đó, nó có thể đăng ký công cụ diệt virus giả với bất kỳ tên nào. Nếu bạn kiểm tra Bleeping Computer, một phóng viên của họ đã tạo ra một phần mềm diệt virus giả có tên BleepingComputer Antivirus, sử dụng Defendnot, để tăng tính thú vị. Khi Defendnot được cài đặt và đăng ký, Microsoft Defender sẽ tự động tắt. Vì ứng dụng Defendnot không phải là một chương trình diệt virus thực sự, bạn sẽ không có trình quét theo thời gian thực, khiến bạn dễ bị virus và phần mềm độc hại khác tấn công.

Để giữ cho 'AV' mới và các tác động của WSC hoạt động giữa các lần khởi động lại, Defendnot được thêm vào autorun của Windows. Microsoft phân loại Defendnot là một Trojan. Điều này thật đáng lo ngại khi một chương trình diệt virus hợp pháp lại có thể bị giả mạo như vậy, nhưng với tư cách là một "dự án nghiên cứu", nó cảnh báo các nhà sản xuất hệ điều hành như Microsoft về những lỗ hổng tiềm ẩn có thể bị kẻ xấu khai thác. Nếu bạn tải công cụ Defendnot hôm nay, Microsoft Defender đã bắt đầu phát hiện và cách ly nó như một Trojan dựa trên các thuật toán học máy của mình.

Theo dõi Toms Hardware trên Google News để nhận tin tức, phân tích và đánh giá mới nhất. Hãy nhấn nút Theo dõi nhé.

Nguồn: www.tomshardware.com/software/security-software/defendnot-tool-pitched-as-an-even-funnier-way-to-disable-windows-defender