清除保护历史记录(与检测历史记录不同)

清除保护历史记录(与检测历史记录不同)

Windows Defender 有一个独立于恶意软件的功能检测历史记录 - 注意对尚未已知的故意危险程序的限制,例如受保护的文件夹访问(未被授予访问用户文件夹的权限的程序)或受保护的内存访问(试图访问它们永远不应该访问的数据的程序)。

我认为是的 - 与以下回复相反相关论坛帖子- 单独的日志,因为我已按照说明清除了检测日志,但保护日志中的条目仍然存在(经过 2 次重启和 2 天后)。该Get-MpThreat命令现在不产生任何输出,而保护日志仍包含条目。

该日志超出未知限制会导致相关 Windows 设置对话框崩溃,也可能导致受该功能影响的应用程序崩溃。我之前通过重新安装 Windows 10 解决了这个问题,但问题再次出现。

检测日志存储在C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory,可以通过调用Set-MpPreference -ScanPurgeItemsAfterDelay 1

哪儿是保护日志存储——或者提供哪些其他选项来清除历史记录?

答案1

保护历史记录存储在DetectionHistory文件夹旁边的数据库文件中。我不知道有任何记录的方法来维护该数据库。但是,如果在 defender 未运行时删除它,它将被重新创建为空:

  1. 按住 Shift 键并单击“重新启动”以调出高级启动选项

  2. 选择“命令行”

  3. 等待该启动选项加载,然后使用它执行此命令

    del "C:\ProgramData\Microsoft\Windows Defender\Scans\mpenginedb.db
    
  4. 退出命令行并继续正常启动

  5. 通过打开保护历史记录进行确认,现在应该只包含删除后自第一次启动以来生成的条目,但其他方面仍可正常运行

警告:我无法判断这是否会删除这些保护历史条目之上的任何信息。

相关内容