Windows може да бъде заблуден, че в системата е инсталиран

Windows може да бъде подведен, че в системата е конфигуриран външен антивирус, и да деактивира вградения Defender (снимка: Microsoft)

Вграденият в Windows антивирус Defender прави доста потребна работа, предпазвайки компютрите от злонамерени пробиви. Но някои консуматори не са щастливи от тази непоискана помощ, а хакерите търсят способи да заобиколят отбраната на Microsoft и имат известни триумфи.

Компютърен запалянко откри остроумен трик, който кара Windows да деактивира Defender. По създание, неповторимият трик може да накара Центъра за сигурност на Windows да повярва, че на системата е конфигуриран нов антивирус, вследствие на което Defender ще се изключи автоматизирано.

В Центъра за сигурност на Windows има недокументиран API, който алармира за инсталиране на нов антивирус за отбрана в действително време. След активиране на антивируса от трета страна, Windows автоматизирано изключва Microsoft Defender, с цел да избегне систематични спорове сред двата антивируса.

Изследовател в региона на осведомителната сигурност, представящ се под името es3n1n, е основал софтуерен инструмент Defendnot, който разрешава на потребителите да записват нефункционален „ манекен ” като настоящ антивирус. По-рано същият es3n1n написа различен сходен артикул – „ no-defender ”, само че той съдържаше откъс от код на търговски антивирус, употребен за регистрация в Центъра за сигурност на Windows.

След като планът доби популярност, разработчикът на комерсиалния артикул изпрати тъжба до GitHub за нарушение на закона DMCA. В последна сметка разработчикът es3n1n реши да затвори хранилището и да изтрие наличието му, с цел да избегне правосъдни дейности.

За да предотврати повторението на обстановката, този път es3n1n възпроизвежда същата функционалност, употребявайки DLL библиотеките на подправен антивирус.

API-тата на Центъра за сигурност на Windows нормално са предпазени с разнообразни ограничения. Това включва, по-специално, технологията Protected Process Light, която подсигурява, че в операционната система се зареждат единствено надеждни услуги и процеси, ревизира валидността на цифровите подписи и други

Но es3n1n е намерил метод да заобиколи тази отбрана: Defendnot инжектира своите DLL файлове в систематичния развой Taskmgr.exe, който е изцяло благонадежден в Windows. И от този развой можете да регистрирате мним антивирус с случайно име, като по този начин ще освободите Windows от отбраната на Defender.

Defendnot включва зареждащ механизъм, който предава конфигурационни данни посредством файла ctx.bin и ви разрешава да назовете подправения антивирус, да деактивирате регистрацията му или да осигурите вписване. За да обезпечи непрекъснатото си наличие, Defendnot основава директива в планировчика на дилемите на Windows, с цел да се започва всякога, когато влезете в системата.

По създание това е пълностоен злотворен програмен продукт, който би могъл да се употребява при на практика офанзиви. Разработчикът твърди, че продуктът му е чисто проучвателен план. Но Microsoft Defender към този момент го разпознава като Win32/Sabsik.FL.!ml и блокира действието му.
Задвижващи системи: еволюцията
FAULHABER разшири BXT серията плоски мотори с редуктори, енкодери и регулатори на скорост »»»
предишна обява: Новите видеокарти на XFX публично са на пазара у нас следваща обява:
графа: Новини, Топ вести, Хардуер и Софтуер | етикети: Microsoft Defender, Windows, Windows Defender, антивирус
Коментар

ИМЕ *