如果病毒将自身添加到 Windows Defender 排除项中,它将永远不会被扫描。但是 Windows Defender 是否仍会删除其启动注册表项和计划任务?
Windows Defender 是唯一一款允许通过 powershell 以如此简单的方式添加排除项的防病毒软件,我认为这是一个大问题。如果它能消除病毒的启动方法,那么至少可以部分地减少这个问题。
编辑:我知道它可以删除条目,但我想知道它目前如何处理这个问题
答案1
病毒只能通过在提升的环境中运行才能将自身添加到排除列表中。它可能确实请求提升并且您已批准,或者您在禁用 UAC 的情况下运行(这会带来麻烦)。
如果已知病毒,Windows Defender 迟早会在扫描注册表时发现它,而它经常这样做。排除仅涵盖磁盘,而不涵盖注册表。幸运的话,Windows Defender 会从病毒可执行文件的名称中检测到坏注册表项(如果它始终相同)。
但是,对于被授予管理员权限的病毒,是无法防御的。在注册表中添加启动项只是病毒完全感染计算机的众多方法之一。这就是为什么通常建议在感染后对 Windows 进行全新安装。