中国服务器网
  1. 中国服务器网
  3. Windows Defender – 以编程方式添加排除文件夹
Intereting Posts
multithreadingLinux进程的地址空间布局 使用SIGINT 在Linux中的list_entry Unix – “xargs” – 输出“在中间”(不在最后!) 如何设置抽屉(JFoenix库)的默认状态为closures或隐藏? 系统运行时是否有延时计时器? 我试图build立一个消息系统,理论上可以将消息从batch file发送到另一个同时保持打开状态 extern char ** environ和extern char * environ 有什么区别 ping命令的退出状态 主机做不必要的DNS查找本地主机 如何使用ADB shell查找进程正在使用的端口? OpenSSL:EVP_DecryptFinal_ex中发生错误 LockFileEx返回成功,但似乎没有效果 从代码创build另一个窗口? 我的自定义模块在Linux 3.2.28如何可以打电话给print_cpu_info?

Windows Defender – 以编程方式添加排除文件夹

我正在检查出不同的键盘logging器的研究目的,偶然发现Refog:

https://www.refog.com/keylogger/

这个程序可以捕捉很多系统事件,但真正引起我注意的是另外一些事情。 该程序创build了一个名为Mpk的隐藏文件夹,path为C:\ Windows \ SysWOW64 \ Mpk。 它被标记为操作系统文件文件夹,因为它是不可见的,直到我没有标记Hide protected operating system files (recommended) 。 这个我猜可以通过attrib命令来完成,就像这个attrib +s +h "C:\Windows\SysWOW64\Mpk"所以没什么革命性的。

隐藏

不过,他们也为Windows Defender添加了一个排除文件夹。 他们怎样才能以编程的方式来完成 我正在运行Windows 10 Pro x64。

排除

索姆之后,我发现了以下文件夹: 

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths

我不能添加一个键与我的用户,我得到以下错误: Cannot create key: You do not have the requisite permissions to create a new key under Paths

但是,SYSTEM,WinDefend和TrustedInstaller都具有完全控制。 最好的猜测是他们已经使用了像DevxExec devxexec.exe /user:TrustedInstaller cmd并将密钥写入注册表。

在这里输入图像说明

正确的方法是使用Add-MpPreference powershell cmdlet。 使用此cmdlet可为文件扩展名,路径和进程添加排除项,并为高,中,低威胁添加默认操作。 您可以使用以下命令行从Windows 10中的提升cmd shell轻松执行此操作:powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath“C:\ Windows \ SysWOW64 \ Mpk”