Brug af PowerShell til at undersøge Windows Defender's definitioner af malware signaturer

Windows Defender kan nu beskrives fuldt ud som et antivirus efter udgivelsen af windows 10. Ligesom ethvert antivirus har Windows Defender en databasedefinition, som den bruger til at identificere og blokere eller fjerne trusler eller malware. En database definition er en samling af malware signaturer, som et antivirusprogram er blevet programmeret til at identificere. Hvis en bestemt signatur er identificeret med et bestemt program, markeres det pågældende program som en sikkerhedstrussel. Nu giver Windows PowerShell dig mulighed for at kigge under emhætten og se motoren, der kører Windows Defender. Du kan gøre meget mere uden stor indsats.

Denne vejledning beskriver kort, hvad Windows Defender og Windows PowerShell er. Det giver dig en kort introduktion til, hvordan Windows PowerShell fungerer, og hvordan du bruger PowerShell til at håndtere Windows Defender. Vi vil endelig se, hvordan vi kan bruge PowerShell til at se, hvilke virus Windows Defender kan identificere ved at kigge på dens underskriftsdefinitioner database.

Hvad er Windows Defender?

Windows Defender er beskyttelse mod skadelig software, der følger med og indbygget i Windows. Denne software hjælper med at identificere og fjerne virus, spyware og anden skadelig software. Windows Defender kører i baggrunden og giver dig besked, når du skal træffe specifikke handlinger. Du kan dog altid bruge det til at scanne efter malware, hvis din computer ikke fungerer korrekt, eller hvis du klikker på en mistænkelig link online eller i en e-mail-besked.

Windows Defender ser ud til at være slated for en overgang til en moderne Windows app efter år med en lignende brugergrænseflade. Windows Defender opstod først som et antivirusprogram til Windows XP. Siden Vista version blev det bygget ind i alle Microsoft OS som beskyttelse mod ondsindet software. Før Windows 8 beskyttes Windows Defender mod spyware. Det omfattede en række real-time sikkerhedsagenter, der overvåget flere fælles områder af Windows til ændringer, der kunne have været forårsaget af spyware. Det omfattede også evnen til nemt at fjerne installeret ActiveX-software.

I Windows 8 blev Windows Defender slået sammen med et andet antivirusprodukt - Microsoft Security Essentials - og nu blev det et komplet antivirusprogram. I Windows 10 styres indstillingerne for Windows Defender af indstillingerne, der er tilgængelige fra indstillingerne. Windows 10-årsdagen opdatering, nu giver toast meddelelser at vises og annoncere resultaterne af en scan, selvom der ikke findes virus.

Den største fordel ved Defender er, at den er nem at bruge, den er allerede forudinstalleret i Windows, aktiveret som standard og har praktisk taget ikke brug for manuel konfiguration. Det er også en meget let applikation og vil ikke genere dig med pop-ups hele tiden.

Hvad er Windows PowerShell?

Windows PowerShell er en shell udviklet af Microsoft til opgaveautomatisering og konfigurationsstyring. Denne kraftfulde shell er baseret på .NET-rammerne og indeholder en kommandolinjeskal og et scriptningssprog. Først blev kun en Windows-komponent, PowerShell, lavet open source og cross-platform den 18. august 2016, hvilket betyder, at alle kunne udvikle kommandoer til brug med PowerShell.

Windows Defender har altid haft en kommandolinjeversion, som du kan køre i dit normale kommandopromptvindue. Windows 10 bringer dog med sig cmdlets til Windows Defender.

En cmdlet (udtalt som kommando-lad ) er en letvægts kommando, der bruges i Windows PowerShell-miljøet. Windows PowerShell runtime påberåber disse cmdlets inden for rammerne af automatiseringsskripter, der leveres på kommandolinjen. Windows PowerShell runtime påberåber dem også programmatisk via Windows PowerShell API'er (Application Program Interface). Cmdlets udfører en handling og returnerer typisk et Microsoft .NET Framework-objekt til den næste kommando i rørledningen. Ligesom enhver anden kommandoprompt handling, skal en cmdlet eksistere for at returnere resultater, ellers vil der blive vist en fejl.

Sådan startes Windows PowerShell i administrator tilstand

Du kan køre PowerShell ved at skrive PowerShell i Kør vinduet, men det vil ikke helt klippe det. Dette skyldes, at denne metode ikke vil køre PowerShell i administrator tilstand, og uden administrator tilstand er du begrænset til hvad du kan gøre på grund af tilladelser. Her er måder at starte PowerShell i administrator tilstand.

I Windows 10 er den nemmeste og hurtigste måde at gøre det på at starte Fil / Windows Stifinder, åbne en mappe, træk menuen Filer, gå til Åbn Windows PowerShell og vælg derefter Åbn Windows PowerShell som administratorkommando .
Den anden mulighed er at gå til mappen C : \ Windows \ System32 \ WindowsPowerShell \ v1.0 eller enhver tilgængelig version . Højreklik på filen ved navn PowerShell.exe og åbn som administrator. Filen ved navn PowerShell_ise.exe leverer PowerShell i Graphical User Interface i stedet for Kommandoprompt, men de arbejder begge på samme måde med de samme cmdlets.
Den sidste mulighed er at åbne kommandoprompt som administrator og bruge den til at åbne PowerShell. Gå til Start> Alle apps / Alle programmer> Windows System / Tilbehør> Højreklik på Kommandoprompt og kør som administrator . I vinduet Kommandoprompt, der vises, skal du skrive PowerShell og trykke på Enter. Stien ændres til PS C: \ Windows \ System32> . Det betyder, at du er klar til at bruge PowerShell-miljøet.

PowerShell's Defender cmdlets og hvordan man bruger dem

Vi har talt om, hvilke cmdlets er, så hvordan bruger du dem? Du skal blot skrive disse kommandoer i PowerShell-vinduet.

Windows PowerShell giver 12 cmdlets til Windows Defender. For at se dem, skal du bare skrive Get-Command -Module Defender i PowerShell-kommandopromptvinduet og trykke på Enter. Her er den fulde liste over cmdlets til Windows Defender.

Seriel	cmdlet	Beskrivelse
	Add-MpPreference	Ændrer indstillinger til Windows Defender.
	Get-MpComputerStatus	Går status for anti-malware software på computeren.
	Get-MpPreference	Går indstillinger for Windows Defender-scanninger og opdateringer.
	Get-MpThreat	Får historien om trusler opdaget på computeren.
	Get-MpThreatCatalog	Får kendte trusler fra definitionskataloget.
	Get-MpThreatDetection	Gets aktive og tidligere malware trusler, som Windows Defender opdaget.
	Fjern-MpPreference	Fjerner udelukkelser eller standardhandlinger.
	Fjern-MpThreat	Fjerner aktive trusler fra computeren.
	Set-MpPreference	Konfigurerer indstillinger for Windows Defender-scanninger og opdateringer.
	Start-MpScan	Starter en scanning på computeren.
	Start-MpWDOScan	Starter en offline scanning af Windows Defender.
	Opdatering-MpSignature	Opdaterer anti-malware definitioner på computeren.

Få hjælp fra PowerShell, når du sidder fast

PowerShell indeholder sin egen omfattende, konsolbaserede hjælp. Hvis du sidder fast, eller du blot ønsker hjælp, beskrivelse eller eksempler på en cmdlet, skal du bruge disse kommandoer til at få oplysninger.

Get-Help -Detailed	Dette vil give dig en detaljeret beskrivelse af, hvad cmdlet er forbundet med, og hvad det gør, herunder de nødvendige parametre.
Få-hjælp-Eksempler	Denne kommando giver dig eksempler på, hvordan du bruger cmdlet.
Få-hjælp-Fuld	Dette vil give en detaljeret beskrivelse, herunder eksempler.

Hvis du ikke kan få nogen oplysninger tilbage, skal du opdatere hjælpefilerne til Windows Defender cmdlet. For at opdatere hjælpemenuen skal du skrive denne kommando i Windows PowerShell-vinduet Update-Help, og vent et par minutter, indtil de nyeste hjælpefiler downloades og installeres.

Nogle standardoperationer på PowerShell til at håndtere Windows Defender

Start-MpScan- cmdlet på PowerShell-prompten giver dig mulighed for at køre en scanning på dit system. Dette er de Windows Defender-scanninger, som du kan køre på din pc ved hjælp af Windows PowerShell.

FullScan - denne scanning udføres for alle filer på din computer, samt systemregistret og de aktuelle apps, der kører. Brug kun denne kommando til at udføre en fuld scan: Start-MpScan -ScanType QuickScan
QuickScan - dette vil gøre en analyse af kun de områder, der mest sandsynligt kan være inficeret af malware. For at lave en hurtig scanning, brug følgende kommando: Start-MpScan -ScanType FullScan
CustomScan - en brugerdefineret scanning giver en bruger mulighed for at vælge de mapper og drev, der skal scannes. En sti parameter er nødvendig for denne scanning. Her er et cmdlet eksempel til at køre en brugerdefineret scanning: Start-MpScan -ScanPath C: \ Users \ User1 \ Downloads

Hvis du vil kontrollere efter nye opdateringer af virus signaturdefinition og opdatere Windows Defender, bruger du kommandoen: Update-MpSignature

For at vise den aktuelle status for Windows Defender-aktiverede muligheder, virusdefinitionsdato og -version, sidste scanningstid og andet - skriv denne kommando i PowerShell: Get-MpComputerStatus

Hvis du vil deaktivere Defender-beskyttelse i realtid, skal du bruge kommandoen: Set-MpPreference-DisableRealtimeMonitoring $ true

Der er mange flere og endda komplicerede Windows Defender cmdlets, men denne side vil ikke dykke ind i det. Nu hvor du kender de grundlæggende Windows Defender cmdlets, vil vi se på, hvordan du får et kig ind i Windows Defender-signaturdefinitionsdatabasen.

PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke her

Adgang til Windows Defender malware signatur definition database med PowerShell

Windows Defender-underskriftsdefinitionsdatabasen fortæller dig, hvilken Windows Defender kan identificere som en trussel og neutralisere den med succes. Get-MpThreatCatalog cmdlet giver dig mulighed for at gøre dette. Hele listen vil være lang og vil blive genereret med en blærende hastighed på skærmen. Men du kan tage din tid til at finde det, du leder efter, og hvad der mangler. Indtast blot denne kommando i PowerShell-kommandoprompten og tryk på Enter.

Get-MpThreatCatalog

Du kan bruge Pause / Break-knappen på din pc til midlertidigt at stoppe udgangen. For at helt stoppe eller annullere hele listen fra at generere, tryk Ctrl + C. Hvis du gør en af de to, vil du se en rekord for hver trussel i databasen med seks felter. Her er et eksempel:

CategoryID: 4

SeverityID: 5

ThreatID: 5145

ThreatName: TrojanDownloader: Win32 / Zlob.CH

TypeID: 0

PSComputerName:

Lad os kort se på hvad hvert felt betyder.

CategoryID: Dette angiver den type malware / threat listed. Her er de kendte værdier hidtil, og typen af trussel / malware de peger på:

ID	Type malware
0	Ugyldig
1	Adware
2	Spyware
3	Passwordstealer
4	TrojanDownloader
5	Orm
6	Bagdør
7	Remoteaccesstrojan
8	Trojan
9	Emailflooder
10	Keylogger
11	Dialer
12	Monitoringsoftware
13	Browsermodifier
14	Cookie
15	Browserplugin
16	Aolexploit
17	Nuker
18	Securitydisabler
19	Jokeprogram
20	Hostileactivexcontrol
21	Softwarebundler
22	Stealthnotifier
23	Settingsmodifier
24	Toolbar
25	Remotecontrolsoftware
26	Trojanftp
27	Potentialunwantedsoftware
28	Icqexploit
29	Trojantelnet
30	Filesharingprogram
31	Malware_Creation_Tool
32	Remote_Control_Software
33	Værktøj
34	Trojan_Denialofservice
36	Trojan_Dropper
37	Trojan_Massmailer
38	Trojan_Monitoringsoftware
39	Trojan_Proxyserver
40	Virus
42	kendte
43	Ukendt
44	spp
45	Opførsel
46	Sårbarhed
47	Politik

SeverityID: Dette er en skala fra 1-5, der identificerer hvor dårlig en trussel er, 5 er den højeste. Her er hvad de mener.

ID	Alvorlighed
0	Ukendt
1	Lav
2	Moderat
4	Høj
5	Alvorlig

ThreatID: Dette er et nummer, der er blevet tildelt malware / threaten som en form for identifikation.

ThreatName: Dette er navnet på den malware, der svarer til ThreatID-nummeret.

TypeID: TypeID-værdien angiver, hvordan Windows Defender identificerer malware. Er det en kendt eller ukendt trussel? Her er værdierne og hvad de betyder.

ID	Identifikationsmetode
0	Kendt dårlig trussel
1	Adfærd overvågning
2	Ukendt trussel
3	Kendt god trussel
4	NIS-trussel (Network Inspection System)

Du kan bemærke, at alle trusler, der vises på din skærm, er type (0) trusler. Dette skyldes, at de fleste af de underskriftsdefinitioner, der allerede er tilføjet, er blevet undersøgt, og typen af trussel de udgør er blevet dokumenteret.

PSComputerName: Navnet på den computer, hvor aktiviteten kører. Dette vil normalt være tomt, hvis du ikke er på et netværk og af en simpel grund, at denne database er et katalog og ikke en aktivitet.

Ting at huske

Signaturdefinitionerne er et ganske stort katalog, så det kan tage lidt tid før du ser nogen genererede data på skærmen. Vær tålmodig.
Da databasen er enorm, kan det forstyrre din hukommelse. Men cmdlets har en grænse for den hukommelse, de bruger, og du vil sandsynligvis se denne besked: ADVARSEL: Hukommelsesbrug af en cmdlet har overskredet et advarselsniveau. PowerShell kan muligvis gendanne og fortsætte med processen eller bare returnere dig til den hurtige pipeline. Vær tålmodig. Ellers kan du annullere begivenheden ved at trykke på Ctrl + C.
Hvis skærmen bliver for overfyldt, skriv kommandoen 'CLS' for at rydde skærmen. Dette vil også forbedre hukommelsesbrugen.

Forespørgsel af Windows Defender Signature Definition Database

En forespørgsel er simpelthen en anmodning om raffineret information / data, der opfylder visse kriterier fra en database. Vi har set, hvordan Windows Defender-definitioner-databasen ligner. Vi ved nu, at det er en ekstremt stor database. Men du kan altid trimme ned mængden af oplysninger, der kan vises ved at tilføje et par parametre til din cmdlet. Her er et par eksempler på hvordan du kan gøre det.

For at se alle poster i databasen for den mest alvorlige malware, brug denne cmdlet:

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5}

Værdien 5 returnerer definitioner med sværhedsgraden på kun 5.

Der findes flere typer malware, som Windows Defender kan identificere. Til nul kun på en type skal du passere en TypeID-parameter eller mere bekvemt, en ThreatName-parameter. Et eksempel er at se kun trusler, der er kendt som vira. Indtast blot dette i PowerShell-kommandopromptvinduet:

Get-MpThreatCatalog | hvor-objekt {$ _. ThreatName -Match ^ Virus. *}

Du kan også bruge mere end ét kriterium til at forespørge i databasen. Lad os sige, at du for eksempel skal se alle vira med en sværhedsgrad på 5. Skriv blot denne kommando i PowerShell-vinduet:

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5} | hvor-objekt {$ _. ThreatName -Match ^ Virus. *}

På denne måde kan du have flere flere forespørgsels kriterier for at indsnævre de viste oplysninger.

Selv efter at have forespurgt din database, kan du stadig finde, at mange data vises på skærmen. Hvis du hellere vil se output på skærmen én side ad gangen, skal du skrive følgende kommando ved PowerShell-prompten:

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5} | vælg ThreatName | mere

Eller

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5} | hvor-objekt {$ _. ThreatName -Match ^ Virus. *} | vælg ThreatName | mere

Denne kommandolinje fører udgangen til den mere kommando, som igen viser output én side ad gangen. For at gå videre til næste side, tryk på [Mellemrum] . Hvis du trykker på [Enter], skifter skærmen en linje ad gangen. Dette sparer meget ventetid, der er nødvendigt for at vise alle dataene på en gang, før du kan begynde at se og rulle gennem dine resultater.

Der er mange flere kommandoer, som du kan bruge til at indsnævre din forespørgsel. Ved hjælp af de oplysninger og eksempler, vi har nævnt, vil du nemt kunne gøre dette. Husk, at versionen af Windows Defender og versionen af Windows PowerShell vil afgøre, om du vil kunne bruge cmdlets til Windows Defender. Dette er blevet testet for Windows 10. Microsoft Support-siden angiver, at dette er tilgængeligt til Windows Server 2016 og Windows 10. Den (ikke opdaterede) version af Windows 7 synes ikke at genkende disse cmdlets. Faktisk vil Windows 7's PowerShell kaste fejl eller returnere emner, når du skriver disse cmdlets. Opdatering af disse to applikationer (Defender og PowerShell) kan få dig tilbage på sporet.