es3n1n이 개발한 Defendnot 도구는 다른 안티바이러스 제품으로 대체하지 않고 Windows Defender를 비활성화하는 새로운 방법을 제공합니다. 문서화되지 않은 윈도우 보안 센터(WSC) API를 활용하여, Defendnot는 운영 체제가 다른 안티바이러스가 활성화되어 있다고 믿게 만들어 Windows Defender를 효과적으로 비활성화합니다.
이 도구는 es3n1n의 이전 *no-defender tool*의 후속작으로, 제3자 코드를 사용하여 DMCA 삭제 요청을 받았습니다. Defendnot는 외부 안티바이러스 소프트웨어에 의존하지 않고 깔끔한 구현을 제공하는 것을 목표로 합니다. 개발 과정에서는 WSC 검증 프로세스에 코드를 주입하여 가짜 안티바이러스를 등록하는 데 성공했습니다.
Defendnot는 신뢰할 수 있는 윈도우 작업 관리자 프로세스에 가짜 안티바이러스 DLL을 주입할 수 있어 사용자가 허구의 안티바이러스 이름을 생성할 수 있게 합니다. 활성화되면 Windows Defender는 스스로 비활성화되어, 실제로는 실시간 보호가 없기 때문에 시스템이 악성 소프트웨어에 취약해집니다. Defendnot는 재부팅 후에도 기능을 유지하기 위해 시작 시 자동 실행되도록 설정되어 있습니다.
Microsoft는 Defendnot를 Trojan으로 분류하며, 이러한 스푸핑 기법이 초래할 수 있는 보안 위험을 강조했습니다. Microsoft Defender에 의해 Trojan으로 탐지된 이 도구는 보안 소프트웨어와 이를 우회하는 방법 간의 지속적인 전투를 상기시키며, 악의적인 행위자들이 악용할 수 있는 잠재적 취약점에 대해 OS 개발자들에게 경고하는 역할을 합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.