{"id":311622,"date":"2025-05-19T00:02:46","date_gmt":"2025-05-18T22:02:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311622"},"modified":"2025-05-19T00:49:47","modified_gmt":"2025-05-18T22:49:47","slug":"windows-10-11-defender-mit-simplen-tool-deaktivierbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/19\/windows-10-11-defender-mit-simplen-tool-deaktivierbar\/","title":{"rendered":"Windows 10\/11: Defender mit simplen Tool Defendnot deaktivierbar"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat in Windows 10 und Windows 11 eine Schnittstelle (API) eingebaut, \u00fcber die Hersteller von Antivirus-Software bei deren Installation den Microsoft Defender deaktivieren k\u00f6nnen. Einige Leute (darunter ein Blog-Leser) haben nun gezeigt, wie man mit einer einfachen Software (no-defender<\/em> oder Defendnot<\/em>) den Windows Defender deaktivieren kann.<\/p>\n

<\/p>\n

\"\"Ich muss das Thema nachtragen, denn Tomas Jakobs hat mich bereits zum 9. Mai 2025 im Diskussionsbereich des Blogs auf das Problem hingewiesen (danke daf\u00fcr). Aber aktuell leide ich nicht an Themenmangel und stelle am Ende des Tages fest, das sich vieles nicht bloggen konnte. Zudem gab es die letzten 14 Tage pers\u00f6nliche Gr\u00fcnde (einige Tage Auszeit und Trauerfall), im Blog etwas k\u00fcrzer zu treten.<\/p>\n

no-defender, oder Security by Obscurity<\/h2>\n

Tomas Jakobs schrieb am 9. Mai 2025 im Diskussionsbereich \"Windows Defender effektiv in jedem Windows ausgeschaltet und das WSC ausgehebelt!\" und verwies dabei auf seinen Blog-Beitrag\u00a0AV-Schutz in jedem Windows ausgehebelt<\/a>.<\/p>\n

Jakobs f\u00fchrt im Beitrag aus, dass von Microsoft eine Windows Security Center (WSC) API in Windows 10 und Windows 11 existiert. Diese API erm\u00f6glicht es den Herstellern von Sicherheitssoftware den in Windows enthaltenen Windows Defender zu deaktivieren, um Konflikte zu vermeiden. Zum Schutz dieses Wissens hat Microsoft das alles unter NDA gestellt (d.h. alles ist vertraulich).<\/p>\n

Nun ist ein Sicherheitsforscher mit dem Alias es3n1n<\/em> auf die Idee gekommen, eine Software mit dem Namen no-defender<\/em> zu schreiben, um diese WSC-API zu missbrauchen und den Microsoft Defender in Windows abzuschalten.<\/p>\n

\"Windows<\/a><\/p>\n

Obiger Screenshot zeigt die Seite\u00a0Windows Security,\u00a0<\/em>auf der der Eintrag \"github.com \/ esc3n1n\/no-defender\" als Virenschutz aufgef\u00fchrt wird. Das hei\u00dft, Windows sieht diese Software als Virenschutz und deaktiviert den Microsoft Defender.<\/p>\n

Bei no-defender<\/em> handelt es sich aber um einen Dummy, der nichts anderes macht, als sich\u00a0gegen\u00fcber Windows \u00fcber die API einfach als Virenschutz auszugeben und so\u00a0den Defender abzuschalten. Ein Nutzer ben\u00f6tigt lediglich lokale Administratorrechte, um den Virenschutz des Defenders unter Windows abzuschalten.<\/p>\n

Leider f\u00fcgt sich No-Defender in den Autostart ein, schreibt der Entwickler, um die WSC-Funktionalit\u00e4t auch nach einem Neustart zu erhalten. Daher m\u00fcssen Tester die no-defender-Bin\u00e4rdateien auf der Festplatte aufbewahren, so dass diese geladen werden k\u00f6nnen.\u00a0Das Ganze kann auch nicht so einfach gepatcht werden, da dann die Schnittstelle f\u00fcr die Antivirus-Anbieter nicht mehr funktioniert.<\/p>\n

Zum Schutz dieses Wissens hat Microsoft das alles unter NDA gestellt (d.h. alles ist vertraulich). Es gab laut esc3n1n eine DMCA<\/a>-Beschwerde einer \"unbekannten\" Firma, die GitHub<\/a> veranlasste, den Code von no-defender<\/em> zu l\u00f6schen. Es sind nur noch der obige Screenshot sowie einige Erkl\u00e4rungen auf GitHub zu finden.<\/p>\n

Tomas Jakobs hat vor acht Monaten das Repository no-defender<\/a> auf codeberg.org ver\u00f6ffentlicht. Er habe diesen Schritt unternommen, da das Tool no-defender<\/em> auf GitHub wegen einer DMCA<\/a>-Beschwerde gel\u00f6scht wurde, schreibt er. In seinem Blog-Beitrag<\/a> skizziert Jakobs noch einige Ans\u00e4tze, um Pertinenz f\u00fcr no-defender per Aufgabenplanung (Task defendnot<\/em>) und Registry-Eintrag zu erhalten. Der Entwickler esc3n1n<\/em> hat das urspr\u00fcngliche Konzept wohl weiter entwickelt.<\/p>\n

Erw\u00e4hnung auf Bleeping Computer<\/h2>\n

Das Thema und die Hinweise von Tomas Jakobs lagen bei mir auf Halde, um aufgegriffen zu werden. Nun sehe ich, dass Kollege Lawrence Abrams von Bleeping Computer das Thema zum Wochenende im Beitrag New 'Defendnot' tool tricks Windows into disabling Microsoft Defender<\/a> ebenfalls aufgegriffen hat. Lawrence Abrams hat den Blog-Beitrag<\/a> von esc3n1n<\/em> mit weiteren Hintergrundinformationen verlinkt. Laut Abrams erkennt der Microsoft Defender Defendnot<\/em> derzeit als \"Win32\/Sabsik.FL.!ml;\" und schiebt die Dateien in Quarant\u00e4ne.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat in Windows 10 und Windows 11 eine Schnittstelle (API) eingebaut, \u00fcber die Hersteller von Antivirus-Software bei deren Installation den Microsoft Defender deaktivieren k\u00f6nnen. Einige Leute (darunter ein Blog-Leser) haben nun gezeigt, wie man mit einer einfachen Software (no-defender … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,161,301],"tags":[2699,24,4328,4313,4378,8257],"class_list":["post-311622","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-virenschutz","category-windows","tag-defender","tag-problem","tag-sicherheit","tag-virenschutz","tag-windows-10","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311622"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311622\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}