Använda PowerShell för att undersöka Windows Defenders definitioner av skadlig kodsignal

Windows Defender kan nu beskrivas fullständigt som ett antivirus efter att Windows 10 har släppts. Liksom alla antivirusprogram har Windows Defender en databasdefinition som den använder för att identifiera och blockera eller ta bort hot eller skadlig programvara. En databasdefinition är en samling malware signaturer som ett antivirusprogram har programmerats för att identifiera. Om en viss signatur identifieras med ett visst program, flaggas det här programmet som ett säkerhetshot. Nu kan du med Windows PowerShell kika under huven och se motorn som kör Windows Defender. Du kan göra mycket mer utan mycket ansträngning.

Den här guiden kommer att kortfattat förklara vad Windows Defender och Windows PowerShell är. Det ger dig en kort introduktion till hur Windows PowerShell fungerar och hur du använder PowerShell för att hantera Windows Defender. Vi kommer till sist att se hur vi kan använda PowerShell för att se vilka virus Windows Defender kan identifiera genom att titta på databasen för signaturdefinitioner.

Vad är Windows Defender?

Windows Defender är skadligt program som ingår i och är inbyggt i Windows. Denna programvara hjälper till att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Windows Defender körs i bakgrunden och meddelar dig när du behöver vidta särskilda åtgärder. Du kan dock använda det när som helst för att söka efter skadlig kod om datorn inte fungerar korrekt eller om du klickade på en misstänkt länk online eller i ett e-postmeddelande.

Windows Defender verkar vara slated för övergång till en modern Windows-app efter år med ett liknande användargränssnitt. Windows Defender uppträdde först som ett antivirusprogram för Windows XP. Eftersom Vista-versionen byggdes in i alla Microsoft-operativsystem som skydd mot skadlig programvara. Före Windows 8 skyddas Windows Defender mot spionprogram. Det inkluderade ett antal säkerhetsagenter i realtid som övervakade flera vanliga områden i Windows för ändringar som kan ha orsakats av spionprogram. Det inkluderade också möjligheten att enkelt ta bort installerad ActiveX-programvara.

I Windows 8 slogs Windows Defender samman med en annan antivirusprodukt - Microsoft Security Essentials - och nu blev det ett komplett antivirusprogram. I Windows 10 styrs Windows Defender-inställningarna av Inställningar-appen som är tillgänglig från inställningarna. Uppdateringen av Windows 10-årsdagen tillåter nu att toast-meddelanden visas och meddelar resultaten av en skanning, även om inga virus hittas.

Den främsta fördelen med Defender är att den är lätt att använda, den är redan förinstallerad i Windows, aktiverad som standard och behöver praktiskt taget ingen manuell konfiguration. Det är också en mycket lätt applikation och stör dig inte med popup-fönster hela tiden.

Vad är Windows PowerShell?

Windows PowerShell är ett skal som utvecklats av Microsoft för uppgiftsautomatisering och konfigurationshantering. Detta kraftfulla skal är baserat på .NET-ramverket och det innehåller ett kommandoradsskal och ett skriptspråk. Ursprungligen enbart en Windows-komponent, PowerShell gjordes öppen källkod och plattformsplattform den 18 augusti 2016 vilket innebär att vem som helst kan utveckla kommandon som ska användas med PowerShell.

Windows Defender har alltid haft en kommandoradsversion som du kan köra i ditt normala kommandotolken. Men Windows 10 tar med sig cmdlets för Windows Defender.

En cmdlet (uttalad som command-let ) är ett lättkommandot som används i Windows PowerShell-miljön. Windows PowerShell runtime åberopar dessa cmdlets inom ramen för automatiseringsskript som finns på kommandoraden. Windows PowerShell runtime åberopar dem också programmatiskt via Windows PowerShell APIs (Application Program Interface). Cmdlets utför en åtgärd och returnerar vanligtvis ett Microsoft .NET Framework-objekt till nästa kommando i pipelinen. Precis som någon annan kommandotolkning måste en cmdlet finnas för att returnera resultat, annars kommer ett fel att visas.

Så här startar du Windows PowerShell i administratörsläge

Du kan köra PowerShell genom att skriva PowerShell i körfönstret, men det kommer inte att klippa det helt. Detta beror på att den här metoden inte kör PowerShell i administratörsläge och utan administratörsläge är du begränsad till vad du kan göra på grund av behörigheter. Så här startar du PowerShell i administratörsläge.

  1. I Windows 10 är det enklaste och snabbaste sättet att göra det genom att starta File / Windows Explorer, öppna någon mapp, dra ner menyn Arkiv, gå till Öppna Windows PowerShell och välj sedan Öppna Windows PowerShell som administratörskommando .
  2. Det andra alternativet är att gå till mappen C : \ Windows \ System32 \ WindowsPowerShell \ v1.0 eller någon tillgänglig version . Högerklicka på filen med namnet PowerShell.exe och öppna som administratör. Filen PowerShell_ise.exe ger PowerShell i grafiskt användargränssnitt istället för kommandotolken, men de fungerar båda på samma sätt med samma cmdlets.
  3. Det sista alternativet är att öppna Command Prompt som administratör och använda den för att öppna PowerShell. Gå till Start> Alla appar / Alla program> Windows System / Tillbehör> Högerklicka på Kommandotolken och kör som administratör . I fönstret Kommandotolk som visas skriver du PowerShell och tryckerEnter. Banan ändras till PS C: \ Windows \ System32> . Det innebär att du är redo att använda PowerShell-miljön.

PowerShells Defender cmdlets och hur man använder dem

Vi har pratat om vilka cmdlets som är, så hur använder du dem? Du måste helt enkelt skriva in dessa kommandon i PowerShell-fönstret.

Windows PowerShell ger 12 cmdlets för Windows Defender. För att se dem, skriv bara Get-Command-Modular Defender i PowerShell-kommandotolken och tryck på Enter. Här är den fullständiga listan över cmdlets för Windows Defender.

SeriecmdletBeskrivning
Add-MpPreferenceÄndrar inställningar för Windows Defender.
Get-MpComputerStatusHämtar statusen för anti-malware-programvaran på datorn.
Get-MpPreferenceGår inställningar för Windows Defender-skanningar och uppdateringar.
Get-MpThreatHämtar historien om hot som upptäckts på datorn.
Get-MpThreatCatalogFår kända hot från definitionskatalogen.
Get-MpThreatDetectionHämtar aktiva och tidigare skadliga programvaror som Windows Defender upptäckte.
Ta-MpPreferenceTar bort uteslutningar eller standardåtgärder.
Ta-MpThreatTa bort aktiva hot från datorn.
Set-MpPreferenceKonfigurerar inställningar för Windows Defender-skanningar och uppdateringar.
Start MpScanStartar en skanning på datorn.
Start MpWDOScanStartar en nätverkssökning från Windows Defender.
Update-MpSignatureUppdaterar antivirusprogrammets definitioner på datorn.

Få hjälp från PowerShell när du fastnar

PowerShell innehåller sin egen omfattande, konsolbaserade hjälp. Om du fastnar eller om du bara vill ha hjälp, beskrivning eller exempel om en cmdlet, använd dessa kommandon för att få information.

Få-hjälp -DetaljeradDetta ger dig en detaljerad beskrivning av vad cmdletet är associerat med och vad det gör, inklusive de parametrar som behövs.
Få-hjälp-ExemplarDetta kommando ger dig exempel på hur du använder cmdlet.
Få-hjälp-FullDetta kommer att ge en detaljerad beskrivning inklusive exempel.

Om du inte kan få tillbaka någon information måste du uppdatera hjälpfilerna för Windows Defender cmdlet. För att uppdatera hjälpmenyn, skriv det här kommandot i Windows PowerShell-fönstret Update-Help och vänta några minuter för att de senaste hjälpfilerna ska hämtas och installeras.

Några standardoperationer på PowerShell för att hantera Windows Defender

Start-MpScan cmdlet i PowerShell-prompten låter dig köra en skanning på ditt system. Det här är de Windows Defender-skanningar som du kan köra på din dator med Windows PowerShell.

  1. FullScan - den här skanningen utförs för alla filer på din dator, såväl som systemregistret och aktuella program som körs. Använd bara det här kommandot för att göra en fullständig genomsökning: Start-MpScan -ScanType QuickScan
  2. QuickScan - det här kommer att göra en analys av endast de områden som mest sannolikt kan vara smittade av skadlig kod. För att göra en snabbsökning, använd följande kommando: Start-MpScan -ScanType FullScan
  3. CustomScan - en anpassad skanning låter en användare välja mappar och enheter som ska skannas. En sökvägsparameter behövs för denna skanning. Här är ett cmdlet-exempel för att köra en anpassad skanning: Start-MpScan -ScanPath C: \ Users \ User1 \ Nedladdningar

Om du vill söka efter nya uppdateringar av virus signaturdefinitioner och uppdatera Windows Defender använder du kommandot: Update-MpSignature

För att visa aktuell status för Windows Defender-aktiverade alternativ, virusdefinitionsdatum och -version, senaste skanningstid och annat - skriv det här kommandot i PowerShell: Get-MpComputerStatus

Om du vill inaktivera Defender-realtidsskydd använder du kommandot: Set-MpPreference-DisableRealtimeMonitoring $ true

Det finns många fler och till och med komplicerade Windows Defender-cmdlets, men den här sidan kommer inte att dyka in i det. Nu när du vet de grundläggande Windows Defender-cmdlets ser vi hur du får en titt på Windows Defender-signaturdefinitionsdatabasen.

PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka här

Åtkomst till databasdefinitionsdatabasen för Windows Defender med PowerShell

Windows Defender-signaturdefinitionsdatabasen berättar vilken windows-försvarare som kan identifiera sig som ett hot och neutralisera det med framgång. Get-MpThreatCatalog cmdlet låter dig göra det här. Hela listan kommer att vara lång och kommer att genereras med en blåsningshastighet på skärmen. Du kan dock ta dig tid att hitta vad du söker och vad som kan saknas. Skriv bara det här kommandot i PowerShell-kommandotolken och tryck på Enter.

Get-MpThreatCatalog

Du kan använda paus / paus-knappen på din dator för att tillfälligt pausa utmatningen. För att helt stoppa eller avbryta hela listan från att generera, tryck Ctrl + C. Om du gör något av de två ser du en post för varje hot i databasen med sex fält. Här är ett exempel:

CategoryID: 4

SeverityID: 5

Hot ID: 5145

ThreatName: TrojanDownloader: Win32 / Zlob.CH

TypID: 0

PSComputerName:

Låt oss kortfattat titta på vad varje fält betyder.

CategoryID: Detta anger vilken typ av skadlig kod / hot som anges. Här är de kända värdena hittills och typen av hot / malware de pekar på:

IDTyp av skadlig kod
0Ogiltig
1adware
2Spyware
3Passwordstealer
4Trojandownloader.Small.ZL
5Mask
6Bakdörr
7Remoteaccesstrojan
8trojan
9Emailflooder
10Keylogger
11Dialer
12Monitoringsoftware
13Browsermodifier
14Kaka
15Browserplugin
16Aolexploit
17Nuker
18Securitydisabler
19Jokeprogram
20Hostileactivexcontrol
21Softwarebundler
22Stealthnotifier
23Settingsmodifier
24Toolbar
25Remotecontrolsoftware
26Trojanftp
27Potentialunwantedsoftware
28Icqexploit
29Trojantelnet
30Filesharingprogram
31Malware_Creation_Tool
32Remote_Control_Software
33Verktyg
34Trojan_Denialofservice
36Trojan_Dropper
37Trojan_Massmailer
38Trojan_Monitoringsoftware
39Trojan_Proxyserver
40Virus
42Känd
43Okänd
44spp
45Beteende
46Sårbarhet
47Politik

SeverityID: Detta är en skala från 1-5 som identifierar hur illa ett hot är, 5 är det högsta. Här är vad de menar.

IDStränghet
0Okänd
1Låg
2Måttlig
4Hög
5Svår

Hot ID: Detta är ett nummer som har tilldelats malware / threaten som en form av identifiering.

ThreatName: Detta är namnet som ges till malware som motsvarar ThreatID-numret.

TypeID: TypeID-värdet anger hur Windows Defender identifierar skadlig programvara. Är det ett känt eller okänt hot? Här är värdena och vad de menar.

IDIdentifieringsmetod
0Känt dåligt hot
1Beteendeövervakning
2Okänt hot
3Känt bra hot
4NIS-hotet

Du kanske märker att alla hot som visas på din skärm är typ (0) hot. Detta beror på att de flesta av de signaturdefinitioner som redan har lagts till har undersökts och vilken typ av hot de utgör har dokumenterats.

PSComputerName: Namnet på datorn där aktiviteten körs. Det här brukar vara tomt om du inte är på ett nätverk och av en enkel anledning att databasen är en katalog och inte en aktivitet.

Saker att komma ihåg

  1. Signaturdefinitionerna är en ganska stor katalog, så det kan ta en stund innan du ser några genererade data på din skärm. Ha tålamod.
  2. Eftersom databasen är stor kan det störa ditt minne. Cmdlets har dock en gräns för det minne de använder, och du kommer sannolikt att se det här meddelandet: VARNING: Minnesanvändningen av en cmdlet har överskridit en varningsnivå. PowerShell kan återhämta sig och fortsätta med processen eller bara returnera dig till den snabba pipeline. Ha tålamod. Annars kan du avbryta händelsen genom att trycka på Ctrl + C.
  3. Om skärmen blir för trångt, skriv kommandot "CLS" för att rensa skärmen. Detta förbättrar också minnesanvändningen.

Söker efter Windows Defender Signature Definition Database

En fråga är en helt enkelt en begäran om raffinerad information / data som uppfyller vissa kriterier från en databas. Vi har sett vad databasen för Windows Defender-definitioner ser ut. Vi vet nu att det är en extremt stor databas. Men du kan alltid trimma ner den mängd information som kan visas genom att lägga till några parametrar till din cmdlet. Här är några exempel på hur du kan göra det.

  1. För att se alla poster i databasen för den allvarligaste skadliga programvaran, använd den här cmdlet:

Get-MpThreatCatalog | var-objekt {$ _. SeverityID -eq 5}

Värdet 5 kommer att returnera definitioner med svårighetsgraden på endast 5.

  1. Det finns flera typer av skadlig kod som Windows Defender kan identifiera. Till noll på endast en typ måste du skicka en TypeID-parameter eller mer bekvämt, en ThreatName-parameter. Ett exempel skulle vara att se bara hot som är kända som virus. Skriv bara in detta i PowerShell-kommandotolken:

Get-MpThreatCatalog | var-objekt {$ _. ThreatName -Match ^ Virus. *}

Du kan också använda mer än ett kriterium för att fråga databasen. Låt oss säga, till exempel, måste du se alla virus med en svårighetsgrad av 5. Skriv bara det här kommandot i PowerShell-fönstret:

Get-MpThreatCatalog | var-objekt {$ _. SeverityID -eq 5} | var-objekt {$ _. ThreatName -Match ^ Virus. *}

På så sätt kan du ha flera fler frågekriterier för att begränsa informationen som visas.

  1. Även efter att ha frågat din databas kan du fortfarande hitta mycket data som visas på skärmen. Om du hellre vill se utmatningen på skärmen en sida i taget skriver du följande kommando i PowerShell-prompten:

Get-MpThreatCatalog | var-objekt {$ _. SeverityID -eq 5} | välj ThreatName | Mer

Eller

Get-MpThreatCatalog | var-objekt {$ _. SeverityID -eq 5} | var-objekt {$ _. ThreatName -Match ^ Virus. *} | välj ThreatName | Mer

Den här kommandoraden piperar utmatningen till kommandot mer, vilket i sin tur visar utgången en sida i taget. För att gå vidare till nästa sida, tryck på [Mellanslag] . Om du trycker på [Enter], går skärmen fram en linje åt gången. Detta sparar mycket väntetid som behövs för att visa alla data på en gång innan du kan börja visa och bläddra igenom dina resultat.

Det finns många fler kommandon som du kan använda för att begränsa din fråga. Med hjälp av informationen och exemplen som vi har listat kan du enkelt göra det här. Kom ihåg att versionen av Windows Defender och versionen av Windows PowerShell kommer att avgöra om du kommer att kunna använda cmdlets för Windows Defender. Detta har testats för Windows 10. Microsoft-supportsidan indikerar att detta är tillgängligt för Windows Server 2016 och Windows 10. Den detaljerade versionen av Windows 7 verkar inte känna igen dessa cmdlets. Faktum är att Windows 7 PowerShell kasta fel eller returnera ämnen när du skriver in dessa cmdlets. Uppdatering av dessa två applikationer (Defender och PowerShell) kan få tillbaka dig på rätt spår.

PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka här

Facebook Twitter Google Plus Pinterest