webdevqa.jp.net

Windows Defender-プログラムで除外フォルダーを追加する

私は研究目的でさまざまなキーロガーを調べていて、Refogに出くわしました。

https://www.refog.com/keylogger/

このプログラムは多くのシステムイベントをキャッチできましたが、私の注意を引いたのは何か他のものでした。プログラムは、Mpkと呼ばれる隠しフォルダー、パスC:\ Windows\SysWOW64\Mpkを作成しました。 Hide protected operating system files (recommended)のマークを解除するまで表示されなかったため、オペレーティングシステムファイルフォルダーとしてマークされました。これは、おそらくattrib +s +h "C:\Windows\SysWOW64\Mpk"のようなattribコマンドを使用して実行できるため、革新的なものは何もありません。

Hide

ただし、このフォルダーの除外もWindows Defenderに追加しました。プログラムでこれをどのように行うことができますか? Windows 10 Pro x64を実行しています。

Exclusion

11
Ogglas

掘り下げた後、次のフォルダーを見つけました。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths

ユーザーと一緒にそこにキーを追加できません。次のエラーが表示されます:Cannot create key: You do not have the requisite permissions to create a new key under Paths

ただし、SYSTEM、WinDefend、TrustedInstallerにはすべてフルコントロールがあります。最良の推測は、彼らがDevxExec devxexec.exe /user:TrustedInstaller cmdのようなものを使用し、キーをレジストリに書き込んだことです。

Enter image description here

8
Ogglas

これを行う正しい方法は、Add-MpPreference PowerShellコマンドレットを使用することです。このコマンドレットを使用して、ファイル名拡張子、パス、プロセスの除外を追加し、高、中、低の脅威に対する既定のアクションを追加します。

これは、次のコマンドラインを使用して、Windows 10の管理者特権のコマンドシェルから簡単に実行できます。

powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "C:\Windows\SysWOW64\Mpk"
13
balrob

管理者特権のシェルで実行します([スタート]メニューでcmdを検索し、 Ctrl+Shift+Enter)。

powershell -Command Add-MpPreference -ExclusionPath "C:\tmp"
powershell -Command Add-MpPreference -ExclusionProcess "Java.exe"
powershell -Command Add-MpPreference -ExclusionExtension ".Java"

powershell -Command Remove-MpPreference -ExclusionExtension ".Java"
6
gavenkoa

PowerShellに移動

Add-MpPreference -ExclusionPath "C:\ Temp"

リファレンス: https://docs.Microsoft.com/en-us/powershell/module/defender/add-mppreference?view=win10-ps

1
randomguy

これを行う最も簡単な方法は、昇格した特権( balrobの答え など)を使用してCMDからPowerShellを使用することですが、PowerShell環境変数を使用して作業を簡単にすることもできます。例えば:

powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath $ENV:USERPROFILE\Downloads

現在のユーザーのダウンロードフォルダを追加します。 C:\ Users\Susana\Downloads。

PowerShellによって提供される環境変数のリストを取得するには、次のPowerShellコマンドを使用できます。

Get-ChildItem Env: | Sort Name

ご覧のとおり、windir変数があります。彼らはあなたが言及したサブフォルダに加えてそれを使うことができます。

1
Mladen