![SCEP:在实时和常规扫描仪中模拟潜在威胁来检查日志](https://linux22.com/image/655796/SCEP%EF%BC%9A%E5%9C%A8%E5%AE%9E%E6%97%B6%E5%92%8C%E5%B8%B8%E8%A7%84%E6%89%AB%E6%8F%8F%E4%BB%AA%E4%B8%AD%E6%A8%A1%E6%8B%9F%E6%BD%9C%E5%9C%A8%E5%A8%81%E8%83%81%E6%9D%A5%E6%A3%80%E6%9F%A5%E6%97%A5%E5%BF%97.png)
我正在做一些 powershell 工作来解析一些工作日志。我还想从 SCEP 日志中收集一些信息。我发现可用的日志数量以及存储它们的不同位置至少有点让人不知所措。
我想提取报告在实时和“常规扫描仪”中发现潜在病毒的日志。
类似的问题已经在这里得到回答: 报告 SCEP 更新和扫描
我eicar
在这里进行测试。那么我该如何模拟两个扫描仪中潜在的阳性结果,以便找出扫描仪记录到哪个文件?
提前致谢
安德鲁
答案1
就“常规”扫描仪而言,它%systemdrive%\ProgramData\Microsoft\Microsoft Antimalware\Support\ MPLog-XXXXXXXX-XXXXXX.log
提供了丰富的信息。
以下是一些值得搜索的有趣模式:
Threat Name # record(s) of malware detection
signature updated via # self-explanatory
scan source # record of scheduled scan/running scan on demand
Expensive file # expensive i.e. large files found during a scan (this information can be used to enhance scanning performance)
无论如何,实时检测显然没有写入上述文件中!