Comments 13
недокументированный API Центра безопасности Windows (WSC), который антивирусное программное обеспечение применяет, чтобы сообщить Windows о своей установке
сдаётся мне, API всё же документированный, раз его создали для стороннего ПО, и это стороннее ПО его массово использует.
предположили, что это происходит из-за коллизии SHA-256, но, похоже, проблема была шире, так как только антивирусная система считала файл угрозой.
непонятная логика, а что ещё должно было считать файл угрозой?
Чтобы обойти эти требования, Defendnot внедряет свою DLL в системный процесс Taskmgr.exe
Когда-то давно добрые антивирусы боролись со злыми вирусами. Теперь приходится использовать добрые вирусы, чтобы бороться со злыми антивирусами.
Интересно... А гипотетически новый WannaCry с изменённым хэшем, который не будет известен классическим антивирусам на определенный момент, не сможет ли, используя компоненты данной программы или этот "незадокументированный API", взломать Windows и навести шороху?..
Кстати, судя по всему, таким же образом работает disabler Defender'а от Ratiborus, один раз экспериментировав на реальном (не основном) ПК, данная программа умудрилась сломать службу антивируса, и пришлось запускать
sfc /scannow
; и только таким образом удалось восстановить,
; стандартный способ через саму программу на удивление не работал Так что хотя бы 1 антивирус лучше держать актуальным :). Данные и настроенная под себя система ценнее, чем небольшая потеря производительности.
Тут скорее зависит от пользователя
Если домохозяйка которая не слишком с компьютером на вы то лучше ставить.
Ну а если в состоянии адблок с антифишинговыми фильтрами поставить то незачем загружать систему эвристикотелеметрийным комбайном
Встроенный антивирь от майков не рекомендую никому. ВООБЩЕ НИКОМУ.
Интересно... А гипотетически новый WannaCry с изменённым хэшем, который не будет известен классическим антивирусам на определенный момент, не сможет ли, используя компоненты данной программы или этот "незадокументированный API", взломать Windows и навести шороху?..
Поэтому, антивирусы не полагаются исключительно на хэш, а работают по сигнатурам и умеют в эвристический анализ. В свою очередь вирусописатели прогоняют свои творениия через крипторы, которые ломают сигнатуру. Эта борьба брони и снаряда идёт непрерывно.
Microsoft почему-то решила, что у меня на компьютере обязательно должен быть антивирус. Грубое нарушение принципа НТСД.
Антивирус обязательно должен быть у большинства, которое без тени сомнений запускает аттач фото.scr из письма "Смотри, это же ты, о господи, как ты мог такое сделать?!" и жмёт на ссылки типа "мокрые письки скачать бесплатно без смс"
А если он лично вам не нужен, вы можете отключить Защитник политиками. Хотя, должен отметить, если вы в защите полагаетесь исключительно на свой мозг - то это наихудшая защита, потому что человек является самым слабым звеном, а делать из самого слабого звена единственную линию обороны... мягко говоря, такое себе решение.
Мне непонятно, почему для ограничения запуска исполняемых файлов из сомнительных источников требуется целая программа - антивирус? Которая постоянно висит в памяти, имеет максимальные права, что-то сканирует, куда-то отправляет? Но при этом новый неизвестный ей вирус она абсолютно точно не обнаружит, потому что грань между нормальным и вредоносным софтом часто очень неопределенная.
Для дурака можно было попроще сделать, как в андроиде например. Хотя и там не помогает. Но это все лирика.
Что касается Defender'а, то последний раз, когда я пытался его отключить - это было невозможно. В реестре изменения сбрасывались, и он запускался снова. Политики групп есть не во всех версиях винды, и вроде бы они тоже не работали. В общем, если бы всё было так просто - обсуждаемый инструмент не появился бы.
Ну а полагаться на свой мозг или нет, пусть каждый решает сам. Время покажет, у кого какое звено самое слабое.
Мне непонятно, почему для ограничения запуска исполняемых файлов из сомнительных источников требуется целая программа - антивирус? Которая постоянно висит в памяти, имеет максимальные права, что-то сканирует, куда-то отправляет?
Ну мы же привыкли к тому, что просто для запуска исполняемых файлов требуется целая операционная система весом в десятки гигабайт? (А чтобы запустить эту операционную систему, требуется отдельная операционная система, которая вообще неизвестно что делает и закрыта под грифами "перед прочтением сжечь".)
Ну мы же привыкли к тому, что просто для запуска исполняемых файлов требуется целая операционная система весом в десятки гигабайт?
Я, например, не смирился, просто выбора нет.
Исполняемому файлу нужны только ядро и системные библиотеки c API, библиотекам нужны драйверы. В Docker'е под Линуксом это все можно изолировать в контейнере (кроме ядра), для простого приложения получатся буквально единицы или десятки мегабайт. Если используется GPU, то тогда и гигабайт не предел.
В Windows так невозможно сделать, к сожалению, но я уверен, что большая часть содержимого в ней мусор, не задействованный непосредственно в запуске файлов.
Один из способов отключения Защитника Windows (и прочих компонентов): на сайте privacy.sexy в поисковой строке набираете defender, отмечаете галками нужные пункты, внизу жмете скачать скрипт, сохраняете .bat файл и запускаете с правами админа.
Флажок "Revert" позволяет сделать скрипт возвращающий настройку.
ps. Защитник Windows 11 и на скрипты privacy.sexy натравили как "Virus or unwanted Software". Пришлось им извращаться, чтобы обойти его защиту.
Инструмент Defendnot отключает Microsoft Defender