我看到晚上有大量上传,我怀疑可能是 Windows Defender 提交了文件。我该如何确认?
答案1
这似乎已记录在 Windows 事件查看器中。
启动事件查看器,然后在左侧的树形小部件中展开Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational
。每个子树的内容对我来说都需要几秒钟才能加载。然后,在中间的事件列表中,您可以仔细筛选以查找类似这样的事件:
Microsoft Defender Antivirus has uploaded a file for further analysis.
Filename: C:\Users\Tim\Documents\AProgramThatIWroteMyself.exe
Sha256: [...]
我想您应该能够通过Filename
XML 中的 Data 属性为这些创建一个过滤器:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
[...]
<EventData>
[...]
<Data Name="Filename">C:\Users\Tim\Documents\AProgramThatIWroteMyself.exe</Data>
[...]
</EventData>
</Event>
...但过滤器和自定义视图工具乍一看似乎很不透明,我还没能弄清楚这一步。