我正在离线模式下测试 Windows Defender。我设置了这两个 GPO 条目
- 关闭实时保护:已启用
- 关闭常规补救措施:已启用
我将 EICAR 测试病毒放在 c:\ 中,并使用 powershell(版本 5)命令“Start-MpWDOSScan”启动离线扫描。
未发现 EICAR 病毒(检查事件日志)。在线快速扫描也是如此。只有在线完整扫描才能找到测试病毒。
看来离线扫描可以进行快速扫描。
是否可以配置离线扫描来执行完整扫描?
答案1
我认为没有办法自定义脱机扫描。无论如何,从设计上讲,此扫描与完整扫描不同,因为两者的设计目标不同。
脱机扫描专门用于从 Windows 中删除难以检测且持久类型的病毒或恶意软件,因为某些 rootkit 病毒能够绕过 Windows Shell 并避免在常规恶意软件扫描期间被检测到。
脱机扫描在 Windows 内核之外运行,这使得它能够针对 Rootkit 和其他难以攻击的病毒,包括试图感染或覆盖主引导记录的病毒。
脱机扫描仅应作为全面扫描的补充,并且仅在全面扫描无法根除感染后运行。因此,脱机扫描重复全面扫描已完成的扫描毫无意义。