PowerShell gebruiken om de definities van malwarehandtekeningen van Windows Defender te onderzoeken
Windows Defender kan nu volledig worden beschreven als een antivirusprogramma na de release van Windows 10. Net als elke andere antivirussoftware, heeft Windows Defender een databasedefinitie die wordt gebruikt om bedreigingen of malware te identificeren en te blokkeren of te verwijderen. Een databasedefinitie is een verzameling malwarehandtekeningen waarvoor een antivirusprogramma is geprogrammeerd om te identificeren. Als een bepaalde handtekening wordt geïdentificeerd met een bepaald programma, wordt dat programma gemarkeerd als een beveiligingsbedreiging. Met Windows PowerShell kunt u nu een kijkje nemen onder de motorkap en de engine zien die Windows Defender gebruikt. Je kunt veel meer zonder veel moeite doen.
In deze handleiding wordt kort uitgelegd wat Windows Defender en Windows PowerShell zijn. Vervolgens krijgt u een korte introductie over hoe Windows PowerShell werkt en hoe u PowerShell kunt gebruiken om Windows Defender te beheren. We zullen ten slotte bekijken hoe we PowerShell kunnen gebruiken om te zien welke virussen Windows Defender kan identificeren door naar de database met de ondertekeningsdefinities te kijken.
Wat is Windows Defender?
Windows Defender is malwarebescherming die is inbegrepen bij en ingebouwd in Windows. Deze software helpt bij het identificeren en verwijderen van virussen, spyware en andere schadelijke software. Windows Defender wordt op de achtergrond uitgevoerd en waarschuwt u wanneer u specifieke actie moet ondernemen. U kunt het echter op elk moment gebruiken om te scannen op malware als uw computer niet goed werkt of als u online of in een e-mailbericht op een verdachte link hebt geklikt.
Windows Defender lijkt na jaren met een vergelijkbare gebruikersinterface klaar te zijn voor een overgang naar een moderne Windows-app. Windows Defender verscheen voor het eerst als een antivirusprogramma voor Windows XP. Sinds de Vista-versie was het ingebouwd in alle Microsoft-besturingssystemen als een bescherming tegen schadelijke software. Vóór Windows 8 beschermde Windows Defender tegen spyware. Het bevatte een aantal real-time beveiligingsagenten die verschillende gemeenschappelijke delen van Windows bewaakten op wijzigingen die mogelijk door spyware waren veroorzaakt. Het omvatte ook de mogelijkheid om geïnstalleerde ActiveX-software eenvoudig te verwijderen.
In Windows 8 werd Windows Defender samengevoegd met een ander antivirusproduct - Microsoft Security Essentials - en nu werd het een complete antivirussoftware. In Windows 10 worden Windows Defender-instellingen bepaald door de app Instellingen die u via de instellingen kunt openen. Met de Windows 10-jubileumupdate kunnen nu toastmeldingen worden weergegeven en de resultaten van een scan worden aangekondigd, zelfs als er geen virussen worden gevonden.
Het belangrijkste voordeel van Defender is dat het eenvoudig te gebruiken is, het is al vooraf geïnstalleerd in Windows, standaard ingeschakeld en praktisch geen handmatige configuratie nodig. Het is ook een zeer lichtgewicht applicatie en zal je de hele tijd niet lastig vallen met pop-ups.
Wat is Windows PowerShell?
Windows PowerShell is een shell die is ontwikkeld door Microsoft voor taakautomatisering en configuratiebeheer. Deze krachtige shell is gebaseerd op het .NET-framework en bevat een commandoregel-shell en een scriptingtaal. In eerste instantie alleen een Windows-component, PowerShell werd open-source en cross-platform gemaakt op 18 augustus 2016, wat betekent dat iedereen opdrachten kon ontwikkelen voor gebruik met PowerShell.
Windows Defender heeft altijd een opdrachtregelversie gehad die u kunt uitvoeren in uw normale opdrachtpromptvenster. Windows 10 bevat echter cmdlets voor Windows Defender.
Een cmdlet (uitgesproken als command-let ) is een lichtgewichtopdracht die wordt gebruikt in de Windows PowerShell-omgeving. De Windows PowerShell-runtime roept deze cmdlets aan binnen de context van automatiseringsscripts die op de opdrachtregel worden aangeboden. De Windows PowerShell-runtime roept ze ook programmatisch aan via Windows PowerShell API's (Application Program Interface). Cmdlets voeren een actie uit en geven doorgaans een Microsoft .NET Framework-object terug naar de volgende opdracht in de pijplijn. Net als bij elke andere opdrachtprompt moet er een cmdlet bestaan om resultaten te retourneren, anders wordt een foutmelding weergegeven.
Hoe Windows PowerShell te starten in de beheerdersmodus
U kunt PowerShell uitvoeren door PowerShell in het venster Uitvoeren in te voeren, maar dat snijdt het niet helemaal. De reden hiervoor is dat deze methode PowerShell niet uitvoert in de beheerdersmodus en dat u zonder beheerdersmodus bent beperkt wat u als gevolg van machtigingen kunt doen. Dit zijn de manieren om PowerShell in de beheerdersmodus te starten.
- In Windows 10 is de eenvoudigste en snelste manier om dit te doen File / Windows Explorer te starten , een map te openen, het menu Bestand te openen, naar Windows PowerShell openen te gaan en vervolgens de opdracht Windows PowerShell openen als beheerder te selecteren .
- De andere optie is om naar de map C : \ Windows \ System32 \ WindowsPowerShell \ v1.0 of een beschikbare versie te gaan. Klik met de rechtermuisknop op het bestand met de naam PowerShell.exe en open het als beheerder. Het bestand met de naam PowerShell_ise.exe biedt PowerShell in grafische gebruikersinterface in plaats van de opdrachtprompt, maar beide werken op dezelfde manier met dezelfde cmdlets.
- De laatste optie is om de opdrachtprompt als beheerder te openen en deze te gebruiken om PowerShell te openen. Ga naar Start> Alle apps / Alle programma's> Windows-systeem / accessoires> Klik met de rechtermuisknop op de opdrachtprompt en voer deze uit als beheerder . Typ PowerShell in het venster Opdrachtprompt dat verschijnt en druk op Enter. Het pad verandert in PS C: \ Windows \ System32> . Dit betekent dat u klaar bent om de PowerShell-omgeving te gebruiken.
PowerShell's Defender-cmdlets en hoe deze te gebruiken
We hebben gesproken over welke cmdlets zijn, dus hoe gebruik je ze? U hoeft alleen maar deze opdrachten in te voeren in het PowerShell-venster.
Windows PowerShell biedt 12 cmdlets voor Windows Defender. Om ze te zien, typt u Get-Command -Module Defender in het PowerShell-opdrachtpromptvenster en drukt u op Enter. Hier is de volledige lijst met cmdlets voor Windows Defender.
| serie- | cmdlet | Beschrijving |
| Add-MpPreference | Wijzigt instellingen voor Windows Defender. | |
| Get-MpComputerStatus | Krijgt de status van anti-malware software op de computer. | |
| Get-MpPreference | Krijgt voorkeuren voor de scans en updates van Windows Defender. | |
| Get-MpThreat | Krijgt de geschiedenis van bedreigingen die op de computer zijn gedetecteerd. | |
| Get-MpThreatCatalog | Krijgt bekende bedreigingen uit de definitiescatalogus. | |
| Get-MpThreatDetection | Krijgt actieve en eerdere malwarebedreigingen die door Windows Defender zijn gedetecteerd. | |
| Verwijderen-MpPreference | Verwijdert uitsluitingen of standaardacties. | |
| Verwijderen-MpThreat | Verwijdert actieve bedreigingen van de computer. | |
| Set-MpPreference | Configureert voorkeuren voor scans en updates van Windows Defender. | |
| Start-MpScan | Start een scan op de computer. | |
| Start-MpWDOScan | Start een offline scan van Windows Defender. | |
| Update MpSignature | Werkt de anti-malware-definities op de computer bij. |
Hulp krijgen van PowerShell wanneer u vastzit
PowerShell bevat zijn eigen uitgebreide, console-gebaseerde hulp. Als u vastloopt of als u eenvoudig hulp, beschrijving of voorbeelden over een cmdlet zoekt, gebruikt u deze opdrachten om informatie op te halen.
| Get-Help -Gedetailleerd | Dit geeft u een gedetailleerde beschrijving van waar de cmdlet aan is gekoppeld en wat deze doet, inclusief de benodigde parameters. |
| Get-Help -Voorbeelden | Deze opdracht geeft u voorbeelden van het gebruik van de cmdlet. |
| Get-Help -Full | Dit geeft een gedetailleerde beschrijving inclusief voorbeelden. |
Als u geen informatie kunt terugkrijgen, moet u de Help-bestanden van Windows Defender cmdlet bijwerken. Als u het helpmenu wilt bijwerken, typt u deze opdracht in het Windows PowerShell-venster Update-Help en wacht u een paar minuten tot de nieuwste Help-bestanden zijn gedownload en geïnstalleerd.
Enkele standaardbewerkingen op PowerShell om Windows Defender te beheren
Met de cmdlet Start-MpScan op de PowerShell-prompt kunt u een scan uitvoeren op uw systeem. Dit zijn de Windows Defender-scans die u op uw pc kunt uitvoeren met behulp van Windows PowerShell.
- FullScan - deze scan wordt uitgevoerd voor alle bestanden op uw computer, evenals voor het systeemregister en de huidige actieve apps. Gebruik deze opdracht om een volledige scan uit te voeren: Start-MpScan -ScanType QuickScan
- QuickScan - dit zal alleen een analyse uitvoeren van die gebieden die hoogstwaarschijnlijk door malware zijn geïnfecteerd. Als u een snelle scan wilt uitvoeren, gebruikt u de volgende opdracht: Start-MpScan -ScanType FullScan
- CustomScan - met een aangepaste scan kan een gebruiker de mappen en stations selecteren die moeten worden gescand. Voor deze scan is een padparameter nodig. Hier is een cmdlet-voorbeeld om een aangepaste scan uit te voeren: Start-MpScan -ScanPath C: \ Users \ User1 \ Downloads
Als u wilt controleren op nieuwe definities van de virusdefinitie-definitie en Windows Defender wilt bijwerken, gebruikt u de opdracht: Update-MpSignature
Om de huidige status weer te geven van door Windows Defender ingeschakelde opties, virusdefinitiedatum en -versie, laatste scantijd en andere - typ deze opdracht in PowerShell: Get-MpComputerStatus
Als u de realtime-beveiliging van Defender wilt uitschakelen, gebruikt u de opdracht: Set-MpPreference -DisableRealtimeMonitoring $ true
Er zijn veel meer en zelfs gecompliceerde Windows Defender-cmdlets, maar deze pagina zal daar niet op ingaan. Nu u de standaard Windows Defender-cmdlets kent, zullen we kijken hoe u een kijkje kunt nemen in de definitiesdefinitiedatabase van Windows Defender.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikkenToegang krijgen tot de Windows Defender malware signature definitions-database met behulp van PowerShell
De definitiesdefinitiedatabase van Windows Defender vertelt u wat Windows Defender als een bedreiging kan identificeren en het met succes kan neutraliseren. Met de Get-MpThreatCatalog- cmdlet kunt u dit doen. De hele lijst zal lang zijn en met een zinderende snelheid op uw scherm worden gegenereerd. U kunt echter uw tijd nemen om te vinden wat u zoekt en wat er misschien ontbreekt. Typ gewoon deze opdracht in de PowerShell-opdrachtprompt en druk op Enter.
Get-MpThreatCatalog
U kunt de knop Pauze / Pauze op uw pc gebruiken om de uitvoer tijdelijk te onderbreken. Als u de volledige lijst volledig wilt stoppen of annuleren, drukt u op Ctrl + C. Als u een van de twee gebruikt, ziet u een record voor elke bedreiging in de database met zes velden. Hier is een voorbeeld:
CategorieID: 4
SeverityID: 5
ThreatID: 5145
ThreatName: TrojanDownloader: Win32 / Zlob.CH
TypeID: 0
PSComputerName:
Laten we kort kijken naar wat elk veld betekent.
CategoryID: dit geeft het type malware / bedreiging aan dat wordt vermeld. Hier zijn de bekende waarden tot nu toe, en het type bedreiging / malware waar ze naar verwijzen:
| ID kaart | Type malware |
| 0 | Ongeldig |
| 1 | adware |
| 2 | spyware |
| 3 | Passwordstealer |
| 4 | Trojandownloader.Small.ZL |
| 5 | Worm |
| 6 | Achterdeur |
| 7 | Remoteaccesstrojan |
| 8 | Trojaans |
| 9 | Emailflooder |
| 10 | Keylogger |
| 11 | dialer |
| 12 | Monitoringsoftware |
| 13 | Browsermodifier |
| 14 | Koekje |
| 15 | Browserplugin |
| 16 | Aolexploit |
| 17 | nuker |
| 18 | Securitydisabler |
| 19 | Jokeprogram |
| 20 | Hostileactivexcontrol |
| 21 | Softwarebundler |
| 22 | Stealthnotifier |
| 23 | Settingsmodifier |
| 24 | Toolbar |
| 25 | Remotecontrolsoftware |
| 26 | Trojanftp |
| 27 | Potentialunwantedsoftware |
| 28 | Icqexploit |
| 29 | Trojantelnet |
| 30 | Filesharingprogram |
| 31 | Malware_Creation_Tool |
| 32 | Remote_Control_Software |
| 33 | gereedschap |
| 34 | Trojan_Denialofservice |
| 36 | Trojan_Dropper |
| 37 | Trojan_Massmailer |
| 38 | Trojan_Monitoringsoftware |
| 39 | Trojan_Proxyserver |
| 40 | Virus |
| 42 | Bekend |
| 43 | Onbekend |
| 44 | spp |
| 45 | Gedrag |
| 46 | Kwetsbaarheid |
| 47 | Het beleid |
SeverityID: Dit is een schaal van 1-5 die aangeeft hoe erg een bedreiging is, waarbij 5 de hoogste is. Dit is wat ze bedoelen.
| ID kaart | strengheid |
| 0 | Onbekend |
| 1 | Laag |
| 2 | Matig |
| 4 | hoog |
| 5 | Erge, ernstige |
ThreatID: dit is een nummer dat is toegewezen aan de malware / bedreiging als een vorm van identificatie.
ThreatName: dit is de naam die wordt gegeven aan de malware die overeenkomt met het ThreatID-nummer.
TypeID: de TypeID-waarde geeft aan hoe Windows Defender de malware identificeert. Is het een bekende of onbekende bedreiging? Dit zijn de waarden en wat ze betekenen.
| ID kaart | Identificatie methode |
| 0 | Bekende slechte dreiging |
| 1 | Gedragscontrole |
| 2 | Onbekende dreiging |
| 3 | Bekende goede bedreiging |
| 4 | Network Inspection System (NIS) -bedreiging |
U zult merken dat alle bedreigingen die op uw scherm verschijnen bedreigingen van het type (0) zijn. Dit komt omdat de meeste definities van handtekeningen die al zijn toegevoegd, zijn onderzocht en het type dreiging dat ze bevatten is gedocumenteerd.
PSComputerName: de naam van de computer waarop de activiteit wordt uitgevoerd. Dit is meestal leeg als u zich niet in een netwerk bevindt en om een eenvoudige reden dat deze database een catalogus is en geen activiteit.
Dingen om te onthouden
- De definities van de handtekeningen zijn behoorlijk omvangrijk, dus het kan een hele tijd duren voordat je gegenereerde gegevens op je scherm ziet. Wees geduldig.
- Omdat de database enorm is, kan het je geheugen verstikken. De cmdlets hebben echter een limiet op het geheugen dat ze gebruiken en waarschijnlijk wordt dit bericht weergegeven: WAARSCHUWING: het geheugengebruik van een cmdlet heeft een waarschuwingsniveau overschreden. PowerShell herstelt mogelijk en gaat door met het proces of stuurt u gewoon terug naar de snelle pijplijn. Wees geduldig. Anders kun je het evenement annuleren door op Ctrl + C te drukken.
- Als uw scherm te vol wordt, typt u het commando 'CLS' om het scherm leeg te maken. Dit zal ook het geheugengebruik verbeteren.
Zoeken naar de database met definities van Windows Defender-definities
Een query is eenvoudigweg een verzoek om verfijnde informatie / gegevens die aan een bepaald criterium uit een database voldoen. We hebben gezien hoe de Windows Defender-definitiesdatabase eruit ziet. We weten nu dat het een extreem grote database is. Maar u kunt altijd de hoeveelheid informatie die kan worden weergegeven inkorten door een paar parameters aan uw cmdlet toe te voegen. Hier zijn enkele voorbeelden van hoe u dat kunt doen.
- Gebruik deze cmdlet om alle records in de database voor de meest ernstige malware te bekijken:
Get-MpThreatCatalog | where-object {$ _. SeverityID -eq 5}
De waarde 5 retourneert definities met alleen het prioriteitsniveau 5.
- Er zijn verschillende soorten malware die Windows Defender kan identificeren. Als u slechts één type nul wilt invoeren, moet u een TypeID-parameter doorgeven of, beter nog, een ThreatName-parameter. Een voorbeeld zou zijn om alleen bedreigingen te zien die bekend staan als virussen. Typ dit gewoon in het PowerShell-opdrachtpromptvenster:
Get-MpThreatCatalog | where-object {$ _. ThreatName -Match ^ Virus. *}
U kunt ook meer dan één criterium gebruiken om de database te doorzoeken. Laten we bijvoorbeeld zeggen dat u alle virussen met een ernst van 5 moet zien . Typ eenvoudigweg deze opdracht in het PowerShell-venster:
Get-MpThreatCatalog | where-object {$ _. SeverityID -eq 5} | where-object {$ _. ThreatName -Match ^ Virus. *}
Op deze manier kunt u meerdere meerquerycriteria hebben om de weergegeven informatie te beperken.
- Zelfs nadat u uw database hebt doorzocht, ziet u mogelijk nog steeds veel gegevens op uw scherm. Als u de uitvoer op het scherm liever op één pagina per keer ziet, typt u de volgende opdracht bij de PowerShell-prompt:
Get-MpThreatCatalog | where-object {$ _. SeverityID -eq 5} | selecteer ThreatName | meer
Of
Get-MpThreatCatalog | where-object {$ _. SeverityID -eq 5} | where-object {$ _. ThreatName -Match ^ Virus. *} | selecteer ThreatName | meer
Deze opdrachtregel leidt de uitvoer naar de meer opdracht, die op zijn beurt de uitvoer één pagina per keer weergeeft. Druk op [Spatiebalk] om naar de volgende pagina te gaan. Als u op [Enter] drukt , gaat het scherm één regel tegelijk vooruit. Dit bespaart u veel wachttijd die nodig is om alle gegevens in één keer weer te geven voordat u kunt beginnen met bekijken en scrollen door uw resultaten.
Er zijn veel meer opdrachten die u kunt gebruiken om uw zoekopdracht te verfijnen. Met behulp van de informatie en voorbeelden die we hebben vermeld, kunt u dit eenvoudig doen. Vergeet niet dat de versie van Windows Defender en de versie van Windows PowerShell bepalen of u cmdlets voor Windows Defender kunt gebruiken. Dit is getest voor Windows 10. Op de ondersteuningspagina van Microsoft wordt aangegeven dat dit beschikbaar is voor Windows Server 2016 en Windows 10. De retailversie (niet bijgewerkt) van Windows 7 lijkt deze cmdlets niet te herkennen. In feite gooit PowerShell van Windows 7 fouten weg of retourneert u lege cellen wanneer u deze cmdlets typt. Het updaten van deze twee applicaties (Defender en PowerShell) kan je weer op het goede spoor zetten.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken
