Một nhà nghiên cứu đã phát triển một công cụ có khả năng vô hiệu hóa Microsoft Defender, phần mềm diệt vi-rút mặc định cho máy tính Windows. Được người tạo ra gọi là Defendnot, công cụ này sử dụng API của Trung tâm bảo mật Windows (WSC) để tắt phần mềm diệt vi-rút mà không cảnh báo cơ chế bảo mật của máy tính. Giao diện lập trình này do Microsoft cung cấp cho phép phần mềm bảo mật, chẳng hạn như phần mềm diệt vi-rút, báo cáo trạng thái của chúng cho hệ điều hành.
Điều này cung cấp cho họ quyền vô hiệu hóa Microsoft Defender. Khi phần mềm diệt vi-rút của bên thứ ba được cài đặt và được Windows nhận dạng, Microsoft Defender thực sự sẽ tự tắt. Hệ điều hành được lập trình để ngăn chặn nhiều chương trình diệt vi-rút chạy cùng lúc. Tình huống này có thể làm chậm hiệu suất máy tính hoặc tạo ra xung đột giữa các chương trình diệt vi-rút. Ví dụ, phần mềm diệt vi-rút có thể chặn cùng một tệp như Defender.
Tất cả các biện pháp bảo vệ này đều đã bị Defendnot vượt qua và đánh lừa. Để thực hiện điều này, anh ấy chèn mã của mình vào Taskmgr.exe, trình quản lý tác vụ của Windows. Mẹo ở đây là sử dụng chương trình chính thức này để lừa Windows tin rằng đó là phần mềm diệt vi-rút thực sự, nhưng sử dụng tên giả. Defendnot cho phép người dùng chọn tên phần mềm diệt vi-rút mà họ muốn hiển thị trong Windows và vô hiệu hóa việc đăng ký trong Trung tâm bảo mật để không bị phát hiện. Cuối cùng, chương trình sẽ tự thêm vào Windows Task Scheduler để duy trì hoạt động ngay cả sau khi máy tính khởi động lại. Lỗi thiết kế trong Windows Đây hoàn toàn là một dự án nghiên cứu. Tuy nhiên, việc tạo ra công cụ này cho thấy cách có thể điều khiển Windows để nâng cao tính bảo mật của Microsoft Defender. Người ta dự đoán rằng lỗi thiết kế cuối cùng sẽ bị tội phạm mạng khai thác. Lỗi này xảy ra do cách thức hoạt động của Windows. Microsoft không thể khắc phục lỗi này bằng một bản vá đơn giản.
Lưu ý rằng Microsoft Defender hiện có thể phát hiện và cách ly Defendnot trước khi nó bắt đầu ngụy trang thành phần mềm diệt vi-rút.
Nguồn: es3n1n
Điều này cung cấp cho họ quyền vô hiệu hóa Microsoft Defender. Khi phần mềm diệt vi-rút của bên thứ ba được cài đặt và được Windows nhận dạng, Microsoft Defender thực sự sẽ tự tắt. Hệ điều hành được lập trình để ngăn chặn nhiều chương trình diệt vi-rút chạy cùng lúc. Tình huống này có thể làm chậm hiệu suất máy tính hoặc tạo ra xung đột giữa các chương trình diệt vi-rút. Ví dụ, phần mềm diệt vi-rút có thể chặn cùng một tệp như Defender.
Defendnot đánh lừa các biện pháp bảo vệ của Windows như thế nào
Như người tạo ra Defendnot, es3n1n, giải thích, công cụ này có thể sử dụng API của Microsoft để đánh lừa Windows nghĩ rằng phần mềm diệt vi-rút giả là thật. Nó cũng vượt qua mọi kiểm tra xác thực do nhà xuất bản đưa ra. Nhận thức được những rủi ro, Microsoft đã phát triển một loạt các biện pháp bảo vệ xung quanh API của Trung tâm bảo mật. Công ty đã triển khai một hệ thống bảo vệ đặc biệt giúp ngăn chặn các chương trình trái phép sửa đổi hoặc theo dõi các quy trình nhạy cảm, cùng với một hệ thống chữ ký số. Những điều này phải đảm bảo rằng chỉ những chương trình đáng tin cậy, tức là các chương trình được Microsoft chứng nhận, mới có thể đăng ký chính xác.Tất cả các biện pháp bảo vệ này đều đã bị Defendnot vượt qua và đánh lừa. Để thực hiện điều này, anh ấy chèn mã của mình vào Taskmgr.exe, trình quản lý tác vụ của Windows. Mẹo ở đây là sử dụng chương trình chính thức này để lừa Windows tin rằng đó là phần mềm diệt vi-rút thực sự, nhưng sử dụng tên giả. Defendnot cho phép người dùng chọn tên phần mềm diệt vi-rút mà họ muốn hiển thị trong Windows và vô hiệu hóa việc đăng ký trong Trung tâm bảo mật để không bị phát hiện. Cuối cùng, chương trình sẽ tự thêm vào Windows Task Scheduler để duy trì hoạt động ngay cả sau khi máy tính khởi động lại. Lỗi thiết kế trong Windows Đây hoàn toàn là một dự án nghiên cứu. Tuy nhiên, việc tạo ra công cụ này cho thấy cách có thể điều khiển Windows để nâng cao tính bảo mật của Microsoft Defender. Người ta dự đoán rằng lỗi thiết kế cuối cùng sẽ bị tội phạm mạng khai thác. Lỗi này xảy ra do cách thức hoạt động của Windows. Microsoft không thể khắc phục lỗi này bằng một bản vá đơn giản.
Lưu ý rằng Microsoft Defender hiện có thể phát hiện và cách ly Defendnot trước khi nó bắt đầu ngụy trang thành phần mềm diệt vi-rút.
Nguồn: es3n1n
