資安專家開發假冒防毒程式以關閉 Microsoft Defender，曝光讓Windows處於不設防狀態風險

根據安全研究人員警告，Windows 10 與 Windows 11 的 Microsoft Defender 防毒軟體存在設計機制上的潛在漏洞，駭客可藉由註冊偽造的第三方防毒軟體來讓 Defender 自動停用，藉此達到規避偵測、執行惡意程式的目的。

由於 Defender 若偵測到系統中已安裝其他防毒工具（如卡巴斯基、ESET 等），會出於相容性考量自動關閉自身，因此過去已有部分使用者或開發者刻意註冊「假防毒程式」，用以避免 Defender 誤判啟用碼、破解工具等為惡意程式。

近日，化名 es3n1n 的資安研究人員釋出一款名為 Defendnot 的工具，透過過去從未曝光過的 WSC API（Windows Security Center API） 方式註冊虛假安全程式，進而觸發 Defender 停用邏輯。

WSC API 是專為資安軟體設計的開發接口，用於告知作業系統目前已有有效的防護程式執行中。Defendnot 最初版本透過複製一套真實防毒軟體的元件程式碼（DLL）來偽裝身份，並成功讓 Defender 被迫停用。由於涉及原始碼濫用，該工具在釋出不久後即遭到 DMCA 投訴下架。

不過，es3n1n 隨即自行重寫工具，採用虛擬防毒 DLL 架構並重新打包，成功打造新版 Defendnot，除了能啟動 Defender 關閉機制外，還支援自動啟動與開機執行，進一步提高隱蔽性與穩定性。

儘管開發者聲稱此工具僅為研究用途，不建議一般使用者或用於惡意行為，但顯然這項技術一旦落入黑客之手，恐怕將被大量濫用。透過關閉 Defender，惡意程式將可無需對抗內建防護，輕鬆在系統內部操作，帶來不小的資安風險。

好消息是，微軟威脅情報小組已針對 Defendnot 展開反制，目前新版 Microsoft Defender 已能偵測該工具並加以隔離，將其標示為 Win32/Sabsik.FL.A!ml 類型的木馬程式，該類惡意軟體能在裝置上執行攻擊者指定的多種操作。

使用者建議持續更新作業系統與 Defender 病毒碼資料庫，並避免下載來源不明的可執行檔案，以免成為類似攻擊的目標。