应用程序文件被反复删除-如何查找它做了什么？

Question 1

我尝试过为被删除的文件夹启用安全审核，但什么都没有记录。经过多次尝试后，我让进程监控整夜记录有问题的文件夹的文件事件。

早上我发现文件夹是空的，PM 日志中有以下内容：

20:41:44,7475236,"SRE.exe","14044","SetDispositionInformationEx",
"C:\ProgramData\MyProblematicFolder\Microsoft.Office.Interop.Outlook12.dll",
"SUCCESS","Flags: FILE_DISPOSITION_DELETE, FILE_DISPOSITION_POSIX_SEMANTICS, FILE_DISPOSITION_FORCE_IMAGE_SECTION_CHECK"

文件处置删除： https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/ns-ntddk-_file_disposition_information_ex

此奇怪的 PM 日志事件是由

C:\Program Files\Dell\SupportAssistAgent\SRE\SRE.exe

属于DELL 支持协助代理。

不幸的是，他们在软件中添加了有故障的恶意软件删除功能：

Answer

我尝试过为被删除的文件夹启用安全审核，但什么都没有记录。经过多次尝试后，我让进程监控整夜记录有问题的文件夹的文件事件。

早上我发现文件夹是空的，PM 日志中有以下内容：

20:41:44,7475236,"SRE.exe","14044","SetDispositionInformationEx",
"C:\ProgramData\MyProblematicFolder\Microsoft.Office.Interop.Outlook12.dll",
"SUCCESS","Flags: FILE_DISPOSITION_DELETE, FILE_DISPOSITION_POSIX_SEMANTICS, FILE_DISPOSITION_FORCE_IMAGE_SECTION_CHECK"

文件处置删除： https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/ns-ntddk-_file_disposition_information_ex

此奇怪的 PM 日志事件是由

C:\Program Files\Dell\SupportAssistAgent\SRE\SRE.exe

属于DELL 支持协助代理。

不幸的是，他们在软件中添加了有故障的恶意软件删除功能：

Question 2

打开事件查看器。
在控制台树中，展开应用程序和服务日志> Microsoft > Windows > Windows Defender。
双击“操作”。
在详细信息窗格中，查看单个事件的列表以查找您的事件。
单击事件可在下方窗格中的“常规”和“详细信息”选项卡下查看有关事件的具体详细信息。

如果您可以在那里找到事件，请检查事件 ID 1011 或事件 ID 1013

事件 ID 1011 = 符号名称：MALWAREPROTECTION_QUARANTINE_DELETE 事件 ID 1013 = 符号名称：MALWAREPROTECTION_MALWARE_HISTORY_DELETE

当然，检查事件中的路径：文件路径

Answer

打开事件查看器。
在控制台树中，展开应用程序和服务日志> Microsoft > Windows > Windows Defender。
双击“操作”。
在详细信息窗格中，查看单个事件的列表以查找您的事件。
单击事件可在下方窗格中的“常规”和“详细信息”选项卡下查看有关事件的具体详细信息。

如果您可以在那里找到事件，请检查事件 ID 1011 或事件 ID 1013

事件 ID 1011 = 符号名称：MALWAREPROTECTION_QUARANTINE_DELETE 事件 ID 1013 = 符号名称：MALWAREPROTECTION_MALWARE_HISTORY_DELETE

当然，检查事件中的路径：文件路径

应用程序文件被反复删除-如何查找它做了什么？

答案1

答案2

相关内容