Windows Defender - Thêm thư mục loại trừ programatically

Question

tôi đang kiểm tra keylogger khác nhau cho mục đích nghiên cứu và stumbled khi REFOG:

https://www.refog.com/keylogger/

Chương trình này có thể bắt được rất nhiều sự kiện hệ thống nhưng những gì thực sự làm tôi chú ý là một cái gì đó khác. Chương trình tạo ra một thư mục ẩn tên là Mpk, đường dẫn C: \ Windows \ SysWOW64 \ Mpk. Nó được đánh dấu là thư mục tệp hệ điều hành vì nó không hiển thị cho đến khi tôi bỏ đánh dấu Hide protected operating system files (recommended). Điều này tôi đoán có thể được thực hiện thông qua lệnh attrib như thế này attrib +s +h "C:\Windows\SysWOW64\Mpk" vì vậy không có gì mang tính cách mạng.

Tuy nhiên họ cũng nói thêm một loại trừ Windows Defender cho thư mục này. Làm thế nào họ có thể làm điều này lập trình? Tôi đang chạy Windows 10 Pro x64.

Answer 1

Sau khi đào som tôi tìm thấy thư mục sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths 

tôi không thể thêm một chìa khóa đó với người dùng của tôi, tôi nhận được lỗi sau: Cannot create key: You do not have the requisite permissions to create a new key under Paths

Tuy nhiên HỆ THỐNG, WinDefend và TrustedInstaller đều có toàn quyền kiểm soát. Đoán tốt nhất là họ đã sử dụng một cái gì đó như DevxExec devxexec.exe /user:TrustedInstaller cmd và viết chìa khóa để đăng ký.

Answer 2

Cách đúng để làm điều này là sử dụng PowerShell cmdlet Add-MpPreference. Sử dụng lệnh ghép ngắn này để thêm loại trừ cho phần mở rộng tên tệp, đường dẫn và quy trình và để thêm hành động mặc định cho các mối đe dọa cao, trung bình và thấp. Bạn có thể dễ dàng thực hiện việc này từ vỏ cmd cao trong Windows 10 bằng cách sử dụng dòng lệnh sau: powershell -inputformat no -outputformat none -KhôngInteractive -Command Add-MpPreference -ExclusionPath "C: \ Windows \ SysWOW64 \ Mpk"