Bruke PowerShell til å undersøke Windows Defender's Malware Signature Definitions

Windows Defender kan nå beskrives som et antivirusprogram etter utgivelsen av Windows 10. Som alle antivirusprogrammer, har Windows Defender en databasedefinisjon som den bruker til å identifisere og blokkere eller fjerne trusler eller skadelig programvare. En databasedefinisjon er en samling malware signaturer som et antivirusprogram har blitt programmert til å identifisere. Hvis en bestemt signatur er identifisert med et bestemt program, merkes det programmet som en sikkerhetstrussel. Nå gir Windows PowerShell deg en titt under hetten og ser motoren som kjører Windows Defender. Du kan gjøre mye mer uten mye innsats.

Denne veiledningen forklarer kort hva Windows Defender og Windows PowerShell er. Det vil da gi deg en kort introduksjon til hvordan Windows PowerShell fungerer, og hvordan du bruker PowerShell til å administrere Windows Defender. Vi vil til slutt se hvordan vi kan bruke PowerShell for å se hvilke virus Windows Defender kan identifisere ved å se på underskriftsdefinisjonsdatabasen.

Hva er Windows Defender?

Windows Defender er beskyttelse mot skadelig programvare som følger med og innebygd i Windows. Denne programvaren hjelper til med å identifisere og fjerne virus, spionprogrammer og annen skadelig programvare. Windows Defender kjører i bakgrunnen og gir beskjed når du må ta bestemte handlinger. Du kan imidlertid bruke det når som helst for å skanne etter skadelig programvare hvis datamaskinen ikke fungerer som den skal, eller hvis du klikker en mistenkelig kobling online eller i en e-postmelding.

Windows Defender ser ut til å være slated for overgang til en moderne Windows-app etter år med et lignende brukergrensesnitt. Windows Defender oppstod først som et antivirusprogram for Windows XP. Siden Vista-versjonen ble det bygget inn i alt Microsoft OS som beskyttelse mot skadelig programvare. Før Windows 8 beskyttes Windows Defender mot spionprogrammer. Det inkluderte en rekke sikkerhetsagenter i sanntid som overvåket flere vanlige områder av Windows for endringer som kan ha vært forårsaket av spionprogrammer. Det inneholdt også muligheten til enkelt å fjerne installert ActiveX-programvare.

I Windows 8 ble Windows Defender slått sammen med et annet antivirusprodukt - Microsoft Security Essentials - og nå ble det en fullverdig antivirusprogramvare. I Windows 10 styres Windows Defender-innstillingene av Innstillinger-appen som er tilgjengelig fra Innstillingene. Windows 10 Anniversary Update, lar nå toast-notifikasjoner vises og kunngjøre resultatene av en skanning, selv om det ikke finnes virus.

Den største fordelen med Defender er at den er enkel å bruke, den er allerede forhåndsinstallert i Windows, aktivert som standard og trenger praktisk ikke praktisk konfigurasjon. Det er også en veldig lett applikasjon og vil ikke plage deg med popup-vinduer hele tiden.

Hva er Windows PowerShell?

Windows PowerShell er et skall utviklet av Microsoft for oppgaveautomatisering og konfigurasjonsbehandling. Dette kraftige skallet er basert på .NET-rammeverket, og det inneholder et kommandolinjeskall og et skriptspråk. I utgangspunktet ble bare en Windows-komponent, PowerShell, åpen kildekode og kryssplattform den 18. august 2016, noe som betyr at alle kunne utvikle kommandoer som skal brukes med PowerShell.

Windows Defender har alltid hatt en kommandolinjeversjon som du kan kjøre i ditt normale kommandopromptvindu. Men Windows 10 bringer med seg cmdlets for Windows Defender.

En cmdlet (uttalt som kommandolinje ) er en lettvektskommando som brukes i Windows PowerShell-miljøet. Windows PowerShell-kjøretiden påberoper disse cmdletene i sammenheng med automatiseringsskript som leveres på kommandolinjen. Windows PowerShell-kjøretiden påkaller dem også programmatisk gjennom Windows PowerShell APIs (Application Program Interface). Cmdlets utfører en handling og returnerer vanligvis et Microsoft .NET Framework-objekt til neste kommando i rørledningen. Som en hvilken som helst annen ledeteksthandling, må en cmdlet eksistere for å returnere resultater, ellers vil en feil bli vist.

Slik starter du Windows PowerShell i administratormodus

Du kan kjøre PowerShell ved å skrive PowerShell i kjørevinduet, men det vil ikke helt klippe det. Dette skyldes at denne metoden ikke kjører PowerShell i administratormodus, og uten administratormodus er du begrenset til hva du kan gjøre på grunn av tillatelser. Her er måtene å starte PowerShell i administratormodus.

I Windows 10 er den enkleste og raskeste måten å gjøre det, å starte File / Windows Utforsker, åpne en mappe, dra ned Fil- menyen, gå til Åpne Windows PowerShell, og velg deretter Åpne Windows PowerShell som administratorkommando .
Det andre alternativet er å gå til mappen C : \ Windows \ System32 \ WindowsPowerShell \ v1.0 eller en hvilken som helst versjon tilgjengelig. Høyreklikk på filen ved navn PowerShell.exe og åpne som administrator. Filen PowerShell_ise.exe gir PowerShell i grafisk brukergrensesnitt i stedet for kommandoprompt, men de fungerer begge på samme måte som de samme cmdlets.
Det siste alternativet er å åpne Kommandoprompt som administrator og bruke den til å åpne PowerShell. Gå til Start> Alle apper / Alle programmer> Windows System / Tilbehør> Høyreklikk på Kommandoprompt og kjør som administrator . I vinduet Kommandoprompt som vises, skriv inn PowerShell og trykk Enter. Banen vil skifte til PS C: \ Windows \ System32> . Dette betyr at du er klar til å bruke PowerShell-miljøet.

PowerShells Defender cmdlets og hvordan du bruker dem

Vi har snakket om hva cmdlets er, så hvordan bruker du dem? Du må bare skrive inn disse kommandoene i PowerShell-vinduet.

Windows PowerShell gir 12 cmdlets for Windows Defender. For å se dem, skriv bare Get-Command-Modul Defender i PowerShell-kommandolinjevinduet og trykk Enter. Her er en fullstendig liste over cmdlets for Windows Defender.

serie~~POS=TRUNC	cmdlet	Beskrivelse
	Add-MpPreference	Endrer innstillinger for Windows Defender.
	Get-MpComputerStatus	Går status for anti-malware-programvare på datamaskinen.
	Get-MpPreference	Går innstillinger for Windows Defender-skanninger og oppdateringer.
	Get-MpThreat	Gets historien om trusler oppdaget på datamaskinen.
	Get-MpThreatCatalog	Får kjente trusler fra definisjonskatalogen.
	Get-MpThreatDetection	Gets aktive og tidligere malware trusler som Windows Defender oppdaget.
	Fjern-MpPreference	Fjerner ekskluderinger eller standardhandlinger.
	Fjern-MpThreat	Fjerner aktive trusler fra datamaskinen.
	Set-MpPreference	Konfigurer innstillinger for Windows Defender-skanninger og oppdateringer.
	Oppstart MpScan	Starter en skanning på datamaskinen.
	Oppstart MpWDOScan	Starter en nettverksskanning av Windows Defender.
	Update-MpSignature	Oppdaterer anti-malware-definisjonene på datamaskinen.

Få hjelp fra PowerShell når du sitter fast

PowerShell har sin egen omfattende, konsollbaserte hjelp. Hvis du sitter fast eller du bare ønsker hjelp, beskrivelse eller eksempler på en cmdlet, bruk disse kommandoene for å få informasjon.

Få-hjelp -Detailed	Dette vil gi deg en detaljert beskrivelse av hva cmdlet er knyttet til og hva det gjør, inkludert parametrene som trengs.
Få-hjelp-Eksempler	Denne kommandoen gir deg eksempler på hvordan du bruker cmdlet.
Få hjelp - Fullt	Dette vil gi en detaljert beskrivelse, inkludert eksempler.

Hvis du ikke kan få tilbake informasjon, må du oppdatere hjelpefiler for Windows Defender cmdlet. For å oppdatere hjelpemenyen, skriv denne kommandoen i Windows PowerShell-vinduet Update-Help, og vent noen minutter for at de nyeste hjelpefilene skal lastes ned og installeres.

Noen standardoperasjoner på PowerShell for å administrere Windows Defender

Start-MpScan cmdlet på PowerShell-prompten lar deg kjøre en skanning på systemet. Dette er Windows Defender-skanningen som du kan kjøre på PCen ved hjelp av Windows PowerShell.

FullScan - denne skanningen utføres for alle filer på datamaskinen din, i tillegg til systemregistret og nåværende apps som kjører. Bare bruk denne kommandoen for å gjøre en full skanning: Start-MpScan -ScanType QuickScan
QuickScan - dette vil gjøre en analyse av bare de områdene som mest sannsynlig kan være infisert av skadelig programvare. For å gjøre en rask skanning, bruk følgende kommando: Start-MpScan -ScanType FullScan
CustomScan - en tilpasset skanning vil la en bruker velge mappene og stasjonene som skal skannes. En sti parameter er nødvendig for denne skanningen. Her er et cmdlet eksempel for å kjøre en egendefinert skanning: Start-MpScan -ScanPath C: \ Users \ User1 \ Nedlastinger

Hvis du vil se etter nye virus signaturdefinisjon oppdateringer og oppdatere Windows Defender, bruker du kommandoen: Update-MpSignature

For å vise gjeldende status for Windows Defender-aktiverte alternativer, virusdefinisjonsdato og -versjon, siste skanningstid og andre - skriv denne kommandoen til PowerShell: Get-MpComputerStatus

Hvis du vil deaktivere Defender-sanntidsbeskyttelse, bruk kommandoen: Set-MpPreference-DisableRealtimeMonitoring $ true

Det er mange flere og til og med kompliserte Windows Defender cmdlets, men denne siden vil ikke dykke inn i det. Nå som du kjenner de grunnleggende Windows Defender-cmdletene, ser vi på hvordan du får en titt på Windows Defender-signaturdefinisjonsdatabasen.

PRO TIPS: Hvis problemet er med datamaskinen eller en bærbar PC / notatbok, bør du prøve å bruke Reimage Plus-programvaren som kan skanne arkiver og erstatte skadede og manglende filer. Dette fungerer i de fleste tilfeller der problemet er oppstått på grunn av systemkorrupsjon. Du kan laste ned Reimage Plus ved å klikke her

Tilgang til Windows Defender malware signatur definisjon database med PowerShell

Windows Defender-signaturdefinisjonsdatabasen forteller deg hva Windows Defender kan identifisere som en trussel og nøytralisere den med hell. Get-MpThreatCatalog cmdlet lar deg gjøre dette. Hele listen vil være lang og vil bli generert med blåsende hastighet på skjermen. Du kan imidlertid ta deg tid til å finne det du leter etter, og hva som mangler. Skriv bare denne kommandoen i PowerShell-kommandoprompten og trykk Enter.

Get-MpThreatCatalog

Du kan bruke Pause / Break-knappen på PCen for midlertidig å stoppe utgangen midlertidig. For å helt stoppe eller avbryte hele listen fra å generere, trykk Ctrl + C. Hvis du gjør en av de to, vil du se en post for hver trussel i databasen med seks felt. Her er et eksempel:

CategoryID: 4

SeverityID: 5

ThreatID: 5145

ThreatName: TrojanDownloader: Win32 / Zlob.CH

TypeID: 0

PSComputerName:

La oss kort se på hva hvert felt betyr.

CategoryID: Dette vil indikere hvilken type malware / trussel som er oppført. Her er de kjente verdiene så langt, og typen av trussel / malware de peker på:

ID	Type malware
0	Ugyldig
1	adware
2	Spionvare
3	Passwordstealer
4	Trojandownloader.Small.ZL
5	Mark
6	Bakdør
7	Remoteaccesstrojan
8	Trojan
9	Emailflooder
10	Keylogger
11	Dialer
12	Monitoringsoftware
1. 3	Browsermodifier
14	cookie
15	Browserplugin
16	Aolexploit
17	Nuker
18	Securitydisabler
19	Jokeprogram
20	Hostileactivexcontrol
21	Softwarebundler
22	Stealthnotifier
23	Settingsmodifier
24	verktøylinje
25	Remotecontrolsoftware
26	Trojanftp
27	Potentialunwantedsoftware
28	Icqexploit
29	Trojantelnet
30	Filesharingprogram
31	Malware_Creation_Tool
32	Remote_Control_Software
33	Verktøy
34	Trojan_Denialofservice
36	Trojan_Dropper
37	Trojan_Massmailer
38	Trojan_Monitoringsoftware
39	Trojan_Proxyserver
40	Virus
42	kjent
43	Ukjent
44	Spp
45	Oppførsel
46	sårbarhet
47	Politikk

SeverityID: Dette er en skala fra 1-5 som identifiserer hvor ille en trussel er, 5 er den høyeste. Her er hva de mener.

ID	alvorlighetsgrad
0	Ukjent
1	Lav
2	Moderat
4	Høy
5	Alvorlig

ThreatID: Dette er et nummer som har blitt tildelt malware / trusselen som et form for identifikasjon.

ThreatName: Dette er navnet som er gitt til malware som tilsvarer ThreatID-nummeret.

TypeID: TypeID-verdien angir hvordan Windows Defender identifiserer malware. Er det en kjent eller ukjent trussel? Her er verdiene og hva de mener.

ID	Identifikasjonsmetode
0	Kjent dårlig trussel
1	Oppførsel overvåkning
2	Ukjent trussel
3	Kjent god trussel
4	NIS-trusselen (Network Inspection System)

Du kan legge merke til at alle trusler som vises på skjermen er type (0) trusler. Dette skyldes at de fleste signaturdefinisjonene som allerede er lagt til, har blitt undersøkt og hvilken type trussel de utgjør, er dokumentert.

PSComputerName: Navnet på datamaskinen der aktiviteten kjører. Dette vil vanligvis være tomt hvis du ikke er på et nettverk og av en enkel grunn at denne databasen er en katalog, og ikke en aktivitet.

Ting å huske

Signaturdefinisjonene er ganske stor katalog, så det kan ta litt tid før du ser noen genererte data på skjermen. Vær tålmodig.
Siden databasen er stor, kan det kvele opp minnet ditt. Cmdlets har imidlertid en grense på minnet de bruker, og du vil sannsynligvis se denne meldingen: ADVARSEL: Minnebruk av en cmdlet har oversteget et advarselsnivå. PowerShell kan gjenopprette og fortsette med prosessen eller bare returnere deg til ledig rørledning. Vær tålmodig. Ellers kan du avbryte hendelsen ved å trykke Ctrl + C.
Hvis skjermen blir for overfylt, skriv kommandoen 'CLS' for å fjerne skjermen. Dette vil også forbedre minnebruk.

Spørring av Windows Defender Signature Definitions Database

En forespørsel er en rett og slett en forespørsel om raffinert informasjon / data som oppfyller visse kriterier fra en database. Vi har sett hvordan databasen for Windows Defender-definisjoner ser ut. Vi vet nå at det er en ekstremt stor database. Men du kan alltid trimme ned mengden informasjon som kan vises ved å legge til noen parametere til din cmdlet. Her er noen eksempler på hvordan du kan gjøre det.

For å se alle postene i databasen for den mest alvorlige skadelig programvare, bruk denne cmdlet:

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5}

Verdien 5 returnerer definisjoner med alvorlighetsgraden på bare 5.

Det finnes flere typer malware som Windows Defender kan identifisere. Til null på bare en type må du passere en TypeID-parameter eller mer beleilig, en ThreatName-parameter. Et eksempel er å se bare trusler som er kjent som virus. Skriv bare dette inn i PowerShell-kommandolinjevinduet:

Get-MpThreatCatalog | hvor-objekt {$ _. ThreatName -Match ^ Virus. *}

Du kan også bruke mer enn ett kriterium for å spørre databasen. La oss si, for eksempel, må du se alle virus med en alvorlighetsgrad på 5. Skriv bare denne kommandoen i PowerShell-vinduet:

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5} | hvor-objekt {$ _. ThreatName -Match ^ Virus. *}

På denne måten kan du få flere flere spørrekriterier for å begrense informasjonen som vises.

Selv etter å ha spurt databasen din, kan du likevel finne mye data som vises på skjermen. Hvis du hellere vil se utgangen på skjermen én side av gangen, skriver du inn følgende kommando ved PowerShell-spørringen:

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5} | velg ThreatName | mer

Eller

Get-MpThreatCatalog | hvor-objekt {$ _. SeverityID -eq 5} | hvor-objekt {$ _. ThreatName -Match ^ Virus. *} | velg ThreatName | mer

Denne kommandolinjen piper utgangen til mer kommandoen, som igjen viser utgangen én side av gangen. For å gå videre til neste side, trykk [Mellomrom] . Hvis du trykker på [Enter], vil skjermen forhåndsføre en linje om gangen. Dette sparer mye ventetid som trengs for å vise alle dataene samtidig, før du kan begynne å se og bla gjennom resultatene dine.

Det er mange flere kommandoer som du kan bruke til å begrense søket ditt. Ved hjelp av informasjonen og eksemplene vi har oppført, vil du enkelt kunne gjøre dette. Husk at versjonen av Windows Defender og versjonen av Windows PowerShell vil avgjøre om du vil kunne bruke cmdlets for Windows Defender. Dette har blitt testet for Windows 10. Microsofts støtteside indikerer at dette er tilgjengelig for Windows Server 2016 og Windows 10. Den detaljert (ikke oppdaterte) versjonen av Windows 7 ser ikke ut til å gjenkjenne disse cmdlets. Faktisk vil Windows 7 PowerShell kaste feil eller returnere blanks når du skriver inn disse cmdlets. Oppdatering av disse to programmene (Defender og PowerShell) kan få deg tilbake på sporet.