Calculer Girl
  1. Calculer Girl
  3. Windows Defender – Ajouter un dossier d’exclusion par programme
Intereting Posts
Linux obtenir tous les noms d’interface réseau Longues connexions avec Node.js, comment réduire l’utilisation de la mémoire et éviter les memory leaks? Également lié à V8 et webkit-devtools Comment afficher le beau message contextuel par défaut dans Ubuntu en utilisant Python? installer php et apache sur des instances Amazon EC2 comment encoder et décoder un horodatage NTP au format 64 bits? Migration de PHP 5.4 à PHP 5.6 (code CodeIgniter) sessions php enregistrées dans le disque virtuel Windows 2008 R2 Powershell Le terme ‘Get-Disk’ n’est pas reconnu comme le nom d’une applet de commande Mauvais encodage du fichier html5 (écrit en NetBeans) copier sans écraser et conserver les fichiers existants avec un nom étendu Option pour afficher les caractères de contrôle dans gedit Pourquoi wget POST donne-t-il 400 Bad Request? Comment installer InstreamDB dans Windows Quelle méthode de mise en cache est la plus rapide / la plus légère pour Node / Mongo / NginX? Comment profiler une fonction C ++ au niveau de l’assemblage?

Windows Defender – Ajouter un dossier d’exclusion par programme

Je vérifiais les différents enregistreurs de frappe à des fins de recherche et je suis tombé sur Refog:

https://www.refog.com/keylogger/

Ce programme pouvait attraper beaucoup d’événements système mais ce qui a vraiment attiré mon attention était autre chose. Le programme a créé un dossier caché appelé Mpk, chemin C: \ Windows \ SysWOW64 \ Mpk. Il a été marqué en tant que dossier de fichiers du système d’exploitation car il n’était visible que lorsque j’ai désélectionné Hide protected operating system files (recommended) . Je suppose que cela peut être fait via la commande atsortingb comme ceci atsortingb +s +h "C:\Windows\SysWOW64\Mpk" donc rien de révolutionnaire.

Cacher

Cependant, ils ont également ajouté une exclusion à Windows Defender pour ce dossier. Comment peuvent-ils faire cela par programmation? J’utilise Windows 10 Pro x64.

Exclusion

Pour ce faire, utilisez la cmdlet Add-MpPreference powershell. Utilisez cette applet de commande pour append des exclusions pour les extensions de nom de fichier, les chemins d’access et les processus, et pour append des actions par défaut pour les menaces élevées, modérées et faibles. Vous pouvez facilement effectuer cela à partir du shell cmd élevé dans Windows 10 en utilisant la ligne de commande suivante: 

 powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "C:\Windows\SysWOW64\Mpk"

Après avoir creusé, j’ai trouvé le dossier suivant: 

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths

Je ne peux pas append une clé avec mon utilisateur, j’obtiens l’erreur suivante: Cannot create key: You do not have the requirejsite permissions to create a new key under Paths

Cependant, SYSTEM, WinDefend et TrustedInstaller ont tous un contrôle total. La meilleure hypothèse est qu’ils ont utilisé quelque chose comme DevxExec devxexec.exe /user:TrustedInstaller cmd et écrit la clé du registre.

entrer la description de l'image ici

Comme Balrob a déjà répondu, le moyen le plus simple consiste à utiliser PS from CMD avec des privilèges élevés. Juste pour append un petit commentaire (je n’ai pas encore assez de réputation pour commenter la réponse de balrob ), vous pouvez également utiliser les variables d’environnement PS pour vous faciliter la vie; par exemple: 

 powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath $ENV:USERPROFILE\Downloads

qui va append le dossier de téléchargements de l’utilisateur actuel, par exemple. C: \ Users \ Susana \ Downloads.

Pour obtenir la liste des variables d’environnement fournies par PS, vous pouvez utiliser cette commande PS: 

 Get-ChildItem Env: | Sort Name

Comme vous pouvez le voir, il existe une variable windir . Ils pourraient utiliser cela en plus des sous-dossiers que vous avez mentionnés.