Sử dụng PowerShell để điều tra các định nghĩa chữ ký phần mềm độc hại của Windows Defender

Windows Defender có thể được mô tả đầy đủ như một phần mềm diệt virus sau khi phát hành các cửa sổ 10. Giống như bất kỳ phần mềm diệt virus nào, Windows Defender có định nghĩa cơ sở dữ liệu để xác định và chặn hoặc loại bỏ các mối đe dọa hoặc phần mềm độc hại. Một định nghĩa cơ sở dữ liệu là một tập hợp các chữ ký phần mềm độc hại mà một chương trình diệt virus đã được lập trình để xác định. Nếu một chữ ký nhất định được xác định bằng một chương trình nào đó, thì chương trình đó được gắn cờ là một mối đe dọa bảo mật. Bây giờ Windows PowerShell cho phép bạn có một peek dưới mui xe và xem động cơ chạy Windows Defender. Bạn có thể làm nhiều hơn mà không cần nỗ lực nhiều.

Hướng dẫn này sẽ giải thích ngắn gọn về Windows Defender và Windows PowerShell. Sau đó nó sẽ giới thiệu ngắn gọn về cách Windows PowerShell hoạt động và cách sử dụng PowerShell để quản lý Windows Defender. Cuối cùng chúng ta sẽ thấy cách chúng ta có thể sử dụng PowerShell để xem những virus nào mà Windows Defender có thể xác định bằng cách nhìn vào cơ sở dữ liệu định nghĩa chữ ký của nó.

Windows Defender là gì?

Windows Defender là phần mềm bảo vệ phần mềm độc hại được tích hợp sẵn và được tích hợp trong Windows. Phần mềm này giúp xác định và loại bỏ vi-rút, phần mềm gián điệp và phần mềm độc hại khác. Windows Defender chạy ẩn và thông báo cho bạn khi bạn cần thực hiện hành động cụ thể. Tuy nhiên, bạn có thể sử dụng nó bất cứ lúc nào để quét phần mềm độc hại nếu máy tính của bạn không hoạt động đúng cách hoặc nếu bạn nhấp vào liên kết đáng ngờ trực tuyến hoặc trong một email.

Windows Defender dường như được dự kiến ​​chuyển sang ứng dụng Windows hiện đại sau nhiều năm với giao diện người dùng tương tự. Windows Defender xuất hiện lần đầu tiên như một tiện ích chống virus cho Windows XP. Kể từ phiên bản Vista nó được xây dựng trong tất cả các hệ điều hành của Microsoft như một sự bảo vệ chống lại phần mềm độc hại. Trước Windows 8, Windows Defender được bảo vệ khỏi spyware. Nó bao gồm một số đại lý bảo mật thời gian thực theo dõi một số khu vực phổ biến của Windows cho những thay đổi có thể đã được gây ra bởi phần mềm gián điệp. Nó cũng bao gồm khả năng dễ dàng gỡ bỏ cài đặt phần mềm ActiveX.

Trong Windows 8 Windows Defender đã được sáp nhập với một sản phẩm chống virus khác - Microsoft Security Essentials - và bây giờ nó đã trở thành một phần mềm diệt virus đầy đủ tính năng. Trong Windows 10, cài đặt Windows Defender được kiểm soát bởi ứng dụng Cài đặt được truy cập từ Cài đặt. Bản cập nhật kỷ niệm Windows 10, giờ đây cho phép thông báo bánh mì nướng xuất hiện và công bố kết quả quét, ngay cả khi không tìm thấy vi-rút.

Ưu điểm chính của Defender là nó rất dễ sử dụng, nó đã được cài đặt sẵn trong Windows, được kích hoạt theo mặc định và thực tế không cần cấu hình thủ công. Nó cũng là một ứng dụng rất nhẹ và sẽ không làm phiền bạn với pop-up tất cả các thời gian.

Windows PowerShell là gì?

Windows PowerShell là một hệ vỏ được phát triển bởi Microsoft với mục đích tự động hóa nhiệm vụ và quản lý cấu hình. Lớp vỏ mạnh mẽ này dựa trên khuôn khổ .NET và nó bao gồm một shell dòng lệnh và một ngôn ngữ kịch bản lệnh. Ban đầu chỉ là thành phần Windows, PowerShell đã được tạo mã nguồn mở và đa nền tảng vào ngày 18 tháng 8 năm 2016 có nghĩa là bất kỳ ai cũng có thể phát triển các lệnh để sử dụng với PowerShell.

Windows Defender luôn có một phiên bản dòng lệnh mà bạn có thể chạy trong Cửa sổ nhắc lệnh bình thường của mình. Tuy nhiên, các cửa sổ 10 mang theo các lệnh ghép ngắn cho Windows Defender.

Lệnh ghép ngắn (được gọi là lệnh-let ) là một lệnh nhẹ được sử dụng trong môi trường Windows PowerShell. Thời gian chạy Windows PowerShell gọi các lệnh ghép ngắn này trong ngữ cảnh của các kịch bản tự động hóa được cung cấp tại dòng lệnh. Thời gian chạy Windows PowerShell cũng gọi chúng theo lập trình thông qua API Windows PowerShell (Giao diện chương trình ứng dụng). Cmdlets thực hiện một hành động và thường trả về đối tượng Microsoft .NET Framework cho lệnh tiếp theo trong đường dẫn. Giống như bất kỳ hành động nhắc lệnh nào khác, một lệnh ghép ngắn phải tồn tại để trả về kết quả, nếu không một lỗi sẽ được hiển thị.

Cách khởi chạy Windows PowerShell trong chế độ quản trị viên

Bạn có thể chạy PowerShell bằng cách gõ PowerShell trong cửa sổ Run, nhưng điều đó sẽ không hoàn toàn cắt nó. Điều này là do phương pháp này sẽ không chạy PowerShell ở chế độ quản trị viên và không có chế độ quản trị viên, bạn bị giới hạn về những gì bạn có thể thực hiện do quyền. Dưới đây là các cách để khởi động PowerShell ở chế độ quản trị viên.

  1. Trong Windows 10, cách dễ nhất và nhanh nhất để làm như vậy là khởi chạy File / Windows Explorer, mở bất kỳ thư mục nào, kéo xuống menu Tệp, đi tới Mở Windows PowerShell, rồi chọn lệnh Mở Windows PowerShell làm Quản trị viên .
  2. Các tùy chọn khác là đi đến thư mục C : \ Windows \ System32 \ WindowsPowerShell \ v1.0 hoặc bất kỳ phiên bản có sẵn. Nhấp chuột phải vào tệp có tên PowerShell.exe và mở với tư cách quản trị viên. Tệp có tên PowerShell_ise.exe cung cấp PowerShell trong Giao diện người dùng đồ họa thay vì Dấu nhắc lệnh, nhưng cả hai đều hoạt động theo cùng một cách bằng cách sử dụng cùng một lệnh ghép ngắn.
  3. Tùy chọn cuối cùng là mở Command Prompt với tư cách quản trị viên và sử dụng nó để mở PowerShell. Đi tới Bắt đầu> Tất cả ứng dụng / Tất cả chương trình> Hệ thống / Phụ kiện Windows> Nhấp chuột phải vào Command Promptchạy với tư cách quản trị viên . Trong cửa sổ Command Prompt xuất hiện, gõ PowerShell và nhấn Enter. Đường dẫn sẽ thay đổi thành PS C: \ Windows \ System32> . Điều này có nghĩa là bạn đã sẵn sàng sử dụng môi trường PowerShell.

Lệnh ghép ngắn Defender của PowerShell và cách sử dụng chúng

Chúng ta đã nói về cmdlet là gì, vậy làm thế nào để bạn sử dụng chúng? Bạn chỉ cần gõ lệnh này vào cửa sổ PowerShell.

Windows PowerShell cung cấp 12 lệnh ghép ngắn cho Windows Defender. Để xem chúng, chỉ cần gõ Get-Command -Module Defender vào cửa sổ nhắc lệnh PowerShell và nhấn Enter. Đây là danh sách đầy đủ các lệnh ghép ngắn cho Windows Defender.

Nối tiếpCmdletSự miêu tả
Add-MpPreferenceSửa đổi cài đặt cho Windows Defender.
Get-MpComputerStatusNhận trạng thái phần mềm chống phần mềm độc hại trên máy tính.
Get-MpPreferenceĐược ưu tiên cho việc quét và cập nhật Windows Defender.
Get-MpThreatNhận được lịch sử của các mối đe dọa được phát hiện trên máy tính.
Get-MpThreatCatalogĐược biết các mối đe dọa từ danh mục định nghĩa.
Get-MpThreatDetectionNhận các mối đe dọa phần mềm độc hại đang hoạt động và quá khứ mà Windows Defender đã phát hiện.
Xóa-MpPreferenceLoại bỏ loại trừ hoặc hành động mặc định.
Xóa-MpThreatLoại bỏ các mối đe dọa đang hoạt động khỏi máy tính.
Set-MpPreferenceĐịnh cấu hình các tùy chọn để quét và cập nhật Windows Defender.
Start-MpScanBắt đầu quét trên máy tính.
Start-MpWDOScanBắt đầu quét ngoại tuyến Windows Defender.
Cập nhật-MpSignatureCập nhật các định nghĩa chống phần mềm độc hại trên máy tính.

Nhận trợ giúp từ PowerShell khi bạn bị kẹt

PowerShell bao gồm trợ giúp mở rộng dựa trên giao diện điều khiển của riêng nó. Nếu bạn gặp khó khăn hoặc bạn chỉ đơn giản là mong muốn giúp đỡ, mô tả hoặc ví dụ về một lệnh ghép ngắn, sử dụng các lệnh này để có được thông tin.

Nhận trợ giúp -DetailedĐiều này sẽ cung cấp cho bạn một mô tả chi tiết về những gì cmdlet được liên kết và những gì nó làm bao gồm các tham số cần thiết.
Nhận-Trợ giúp -Ví dụLệnh này sẽ cung cấp cho bạn các ví dụ về cách sử dụng lệnh ghép ngắn.
Nhận-Trợ giúp -ToànĐiều này sẽ đưa ra một mô tả chi tiết bao gồm các ví dụ.

Nếu bạn không thể lấy lại bất kỳ thông tin nào, bạn sẽ phải cập nhật các tệp trợ giúp Windows Defender cmdlet. Để cập nhật menu trợ giúp, gõ lệnh này trong cửa sổ Windows PowerShell Update-Help và đợi một vài phút để tải xuống và cài đặt các tệp trợ giúp mới nhất.

Một vài thao tác chuẩn trên PowerShell để quản lý Windows Defender

Lệnh ghép ngắn Start-MpScan trên lời nhắc PowerShell cho phép bạn chạy quét trên hệ thống của mình. Đây là các bản quét Windows Defender mà bạn có thể chạy trên PC của mình bằng Windows PowerShell.

  1. FullScan - quét này được thực hiện cho tất cả các tệp trên máy tính của bạn, cũng như đăng ký hệ thống và các ứng dụng hiện tại đang chạy. Chỉ cần sử dụng lệnh này để quét toàn bộ: Start-MpScan -ScanType QuickScan
  2. QuickScan - điều này sẽ phân tích chỉ những khu vực có nhiều khả năng nhất có thể bị nhiễm phần mềm độc hại. Để thực hiện quét nhanh, sử dụng lệnh sau: Start-MpScan -ScanType FullScan
  3. CustomScan - quét tùy chỉnh sẽ cho phép người dùng chọn các thư mục và ổ đĩa cần quét. Một tham số đường dẫn là cần thiết cho quá trình quét này. Đây là một ví dụ về cmdlet để chạy quét tùy chỉnh: Start-MpScan -ScanPath C: \ Users \ User1 \ Downloads

Nếu bạn muốn kiểm tra các cập nhật định nghĩa chữ ký virus mới và cập nhật Windows Defender, bạn sẽ sử dụng lệnh: Update-MpSignature

Để hiển thị trạng thái hiện tại của Windows Defender - các tùy chọn đã bật, ngày và phiên bản định nghĩa vi-rút, thời gian quét lần cuối và loại khác - nhập lệnh này vào PowerShell: Get-MpComputerStatus

Nếu bạn muốn tắt tính năng bảo vệ thời gian thực của Defender, hãy sử dụng lệnh: Set-MpPreference -DisableRealtimeMonitoring $ true

Có nhiều lệnh ghép ngắn Windows Defender phức tạp hơn, nhưng trang này sẽ không đi sâu vào đó. Bây giờ bạn đã biết các lệnh ghép ngắn của Windows Defender cơ bản, chúng ta sẽ xem xét cách xem xét cơ sở dữ liệu định nghĩa chữ ký của Windows Defender.

Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây

Truy cập cơ sở dữ liệu định nghĩa phần mềm độc hại của Windows Defender bằng PowerShell

Cơ sở dữ liệu định nghĩa chữ ký của Windows Defender cho bạn biết những gì mà người bảo vệ cửa sổ có thể xác định là mối đe dọa và trung hòa nó thành công. Lệnh ghép ngắn Get-MpThreatCatalog sẽ cho phép bạn thực hiện điều này. Toàn bộ danh sách sẽ dài và sẽ được tạo ra với tốc độ phồng rộp trên màn hình của bạn. Tuy nhiên, bạn có thể dành thời gian để tìm thấy những gì bạn đang tìm kiếm và những gì có thể bị thiếu. Chỉ cần gõ lệnh này vào dấu nhắc lệnh PowerShell và nhấn Enter.

Get-MpThreatCatalog

Bạn có thể sử dụng nút Pause / Break trên máy tính của bạn để tạm thời tạm dừng đầu ra. Để hoàn toàn dừng hoặc hủy toàn bộ danh sách khi tạo, nhấn Ctrl + C. Nếu bạn thực hiện một trong hai, bạn sẽ thấy một bản ghi cho mỗi mối đe dọa trong cơ sở dữ liệu với sáu trường. Đây là một ví dụ:

Danh mụcID: 4

Mức độ nghiêm trọng: 5

ThreatID: 5145

ThreatName: TrojanDownloader: Win32 / Zlob.CH

TypeID: 0

PSComputerName:

Hãy để chúng tôi xem xét ngắn gọn ý nghĩa của từng lĩnh vực.

CategoryID: Điều này sẽ cho biết loại phần mềm độc hại / mối đe dọa được liệt kê. Dưới đây là các giá trị đã biết cho đến thời điểm này và loại mối đe dọa / phần mềm độc hại mà chúng trỏ đến:

IDLoại phần mềm độc hại
0không hợp lệ
1Phần mềm quảng cáo
2Phần mềm gián điệp
3Passwordstealer
4Trojandownloader
5Sâu
6Cửa sau
7Remoteaccesstrojan
số 8Trojan
9Emailflooder
10Keylogger
11Trình quay số
12Giám sát phần mềm
13Trình chỉnh sửa trình duyệt
14Bánh quy
15Browserplugin
16Aolexploit
17Nuker
18Securitydisabler
19Jokeprogram
20Hostileactivexcontrol
21Softwarebundler
22Trình ẩn
23Cài đặt trình chỉnh sửa
24Thanh công cụ
25Remotecontrolsoftware
26Trojanftp
27Potentialunwantedsoftware
28Icqexploit
29Trojantelnet
30Filesharingprogram
31Malware_Creation_Tool
32Remote_Control_Software
33Dụng cụ
34Trojan_Denialofservice
36Trojan_Dropper
37Trojan_Massmailer
38Trojan_Monitoringsoftware
39Trojan_Proxyserver
40Virus
42Đã biết
43không xác định
44Spp
45Hành vi
46Lỗ hổng
47Chính sách

Mức độ nghiêm trọng: Đây là thang tỷ lệ 1-5 xác định mức độ đe dọa là xấu, 5 là mức cao nhất. Đây là ý của họ.

IDMức độ nghiêm trọng
0không xác định
1Thấp
2Vừa phải
4Cao
5Nghiêm trọng

ThreatID: Đây là một số đã được gán cho phần mềm độc hại / mối đe dọa như một hình thức nhận dạng.

ThreatName: Đây là tên được đặt cho phần mềm độc hại tương ứng với số ThreatID.

TypeID: Giá trị TypeID chỉ định cách Windows Defender xác định phần mềm độc hại. Nó là một mối đe dọa đã biết hay chưa biết? Dưới đây là những giá trị và ý nghĩa của chúng.

IDPhương pháp nhận dạng
0Mối đe dọa đã biết
1Giám sát hành vi
2Mối đe dọa không xác định
3Mối đe dọa được biết đến tốt
4Hệ thống kiểm tra mạng (NIS)

Bạn có thể nhận thấy rằng tất cả các mối đe dọa xuất hiện trên màn hình của bạn là loại (0) các mối đe dọa. Điều này là do hầu hết các định nghĩa chữ ký đã được thêm vào đã được nghiên cứu và loại mối đe dọa mà chúng đặt ra đã được ghi nhận.

PSComputerName: Tên của máy tính nơi hoạt động đang chạy. Điều này thường sẽ trống nếu bạn không ở trên mạng và vì một lý do đơn giản là cơ sở dữ liệu này là một danh mục chứ không phải một hoạt động.

Những điều cần ghi nhớ

  1. Các định nghĩa chữ ký là một danh mục khá lớn, vì vậy có thể mất khá nhiều thời gian trước khi bạn thấy bất kỳ dữ liệu nào được tạo trên màn hình của mình. Kiên nhẫn.
  2. Vì cơ sở dữ liệu rất lớn, nó có thể làm hỏng bộ nhớ của bạn. Tuy nhiên, lệnh ghép ngắn có giới hạn về bộ nhớ mà chúng sử dụng và bạn có thể thấy thông báo này: CẢNH BÁO: Việc sử dụng bộ nhớ của lệnh ghép ngắn đã vượt quá mức cảnh báo. PowerShell có thể khôi phục và tiếp tục quá trình này hoặc chỉ đưa bạn trở lại đường dẫn nhanh. Kiên nhẫn. Nếu không, bạn có thể hủy sự kiện bằng cách nhấn Ctrl + C.
  3. Nếu màn hình của bạn trở nên quá đông đúc, hãy gõ lệnh 'CLS' để xóa màn hình. Điều này cũng sẽ cải thiện việc sử dụng bộ nhớ.

Truy vấn Cơ sở dữ liệu Định nghĩa Chữ ký của Windows Defender

Truy vấn là một yêu cầu đơn giản cho thông tin / dữ liệu tinh chỉnh đáp ứng một tiêu chí nhất định từ cơ sở dữ liệu. Chúng ta đã thấy cơ sở dữ liệu định nghĩa Windows Defender trông như thế nào. Bây giờ chúng ta biết rằng nó là một cơ sở dữ liệu cực kỳ lớn. Nhưng bạn luôn có thể giảm số lượng thông tin có thể được hiển thị bằng cách thêm một vài tham số vào cmdlet của bạn. Dưới đây là một vài ví dụ về cách bạn có thể làm điều đó.

  1. Để xem tất cả các bản ghi trong cơ sở dữ liệu cho phần mềm độc hại nghiêm trọng nhất, hãy sử dụng lệnh ghép ngắn này:

Get-MpThreatCatalog | ở đâu-đối tượng {$ _. SeverityID -eq 5}

Giá trị 5 sẽ trả về định nghĩa với mức độ nghiêm trọng là 5.

  1. Có một số loại phần mềm độc hại mà Windows Defender có thể xác định. Để chỉ ở trên một loại, bạn sẽ phải chuyển thông số TypeID hoặc thuận tiện hơn, tham số ThreatName. Một ví dụ sẽ là chỉ xem các mối đe dọa được gọi là virus. Chỉ cần gõ vào cửa sổ nhắc lệnh PowerShell:

Get-MpThreatCatalog | nơi-đối tượng {$ _. ThreatName -Match ^ Virus. *}

Bạn cũng có thể sử dụng nhiều hơn một tiêu chí để truy vấn cơ sở dữ liệu. Ví dụ, giả sử bạn cần xem tất cả các virusmức độ nghiêm trọng là 5. Chỉ cần gõ lệnh này vào cửa sổ PowerShell:

Get-MpThreatCatalog | ở đâu-đối tượng {$ _. SeverityID -eq 5} | nơi-đối tượng {$ _. ThreatName -Match ^ Virus. *}

Bằng cách này, bạn có thể có thêm một số tiêu chí truy vấn để thu hẹp thông tin được hiển thị.

  1. Ngay cả sau khi truy vấn cơ sở dữ liệu của bạn, bạn vẫn có thể tìm thấy rất nhiều dữ liệu đang được hiển thị trên màn hình của bạn. Nếu bạn muốn xem đầu ra trên màn hình một trang tại một thời điểm, hãy gõ lệnh sau tại dấu nhắc PowerShell:

Get-MpThreatCatalog | ở đâu-đối tượng {$ _. SeverityID -eq 5} | chọn ThreatName | hơn

Hoặc là

Get-MpThreatCatalog | ở đâu-đối tượng {$ _. SeverityID -eq 5} | nơi-đối tượng {$ _. ThreatName -Match ^ Virus. *} | chọn ThreatName | hơn

Dòng lệnh này đưa đầu ra vào lệnh nhiều hơn, điều này lần lượt hiển thị đầu ra một trang tại một thời điểm. Để chuyển sang trang tiếp theo, nhấn [Spacebar] . Nếu bạn nhấn [Enter], màn hình sẽ tiến một dòng tại một thời điểm. Điều này sẽ giúp bạn tiết kiệm rất nhiều thời gian chờ đợi cần thiết để hiển thị tất cả dữ liệu cùng một lúc trước khi bạn có thể bắt đầu xem và cuộn qua kết quả của mình.

Có rất nhiều lệnh mà bạn có thể sử dụng để thu hẹp truy vấn của mình. Sử dụng thông tin và ví dụ chúng tôi đã liệt kê, bạn sẽ có thể dễ dàng thực hiện việc này. Hãy nhớ rằng phiên bản Windows Defender và phiên bản Windows PowerShell sẽ xác định xem bạn có thể sử dụng lệnh ghép ngắn cho Windows Defender hay không. Điều này đã được thử nghiệm cho Windows 10. Trang hỗ trợ của Microsoft cho biết rằng điều này có sẵn cho Windows Server 2016 và Windows 10. Phiên bản bán lẻ (không được cập nhật) của Windows 7 dường như không nhận ra lệnh ghép ngắn này. Trong thực tế, Windows PowerShell sẽ ném lỗi hoặc trả về khoảng trống khi bạn gõ lệnh ghép ngắn này. Cập nhật hai ứng dụng này (Defender và PowerShell) có thể giúp bạn quay trở lại đúng hướng.

Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây

Facebook Twitter Google Plus Pinterest