Windows Defender'ın Kötü Amaçlı Yazılım İmza Tanımlarını Araştırmak için PowerShell'i Kullanma

Windows Defender, artık Windows 10'un piyasaya sürülmesinden sonra bir antivirüs olarak tam olarak tanımlanabilir. Virüsten koruma gibi, Windows Defender'ın da tehditleri veya kötü amaçlı yazılımları tanımlamak ve engellemek veya kaldırmak için kullandığı bir veritabanı tanımı vardır. Bir veritabanı tanımı, bir antivirüsün tanımlamak üzere programlanmış olduğu, kötü amaçlı yazılım imzaları topluluğudur. Belli bir programla belirli bir imza belirtilirse, o program bir güvenlik tehdidi olarak işaretlenir. Şimdi Windows PowerShell, kaputun altında bir göz atmanızı ve Windows Defender'ı çalıştıran motoru görmenizi sağlar. Fazla çaba harcamadan çok daha fazlasını yapabilirsiniz.

Bu kılavuz, Windows Defender ve Windows PowerShell'in ne olduğunu kısaca açıklayacaktır. Daha sonra Windows PowerShell'in nasıl çalıştığı ve Windows Defender'ı yönetmek için PowerShell'in nasıl kullanılacağı hakkında kısa bir tanıtım yapacağız. Son olarak, Windows Defender'ın hangi tanımlama virüslerini imza tanımları veritabanına bakarak tanımlayabildiğini görmek için PowerShell'i nasıl kullanabileceğimizi göreceğiz.

Windows Defender nedir?

Windows Defender, Windows'da bulunan ve yerleşik olarak bulunan kötü amaçlı yazılım korumasıdır. Bu yazılım virüsleri, casus yazılımları ve diğer kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olur. Windows Defender arka planda çalışır ve belirli bir işlem yapmanız gerektiğinde sizi uyarır. Ancak, bilgisayarınız düzgün çalışmıyorsa veya çevrimiçi şüpheli bir bağlantıyı veya bir e-posta iletisini tıklattıysanız, kötü amaçlı yazılımları taramak için istediğiniz zaman kullanabilirsiniz.

Windows Defender, benzer bir kullanıcı arabirimi ile yıllar sonra modern bir Windows uygulamasına geçiş için planlanmış gibi görünüyor. Windows Defender, ilk olarak Windows XP için bir anti-virüs programı olarak ortaya çıktı. Vista sürümünden bu yana, tüm Microsoft işletim sistemlerine kötü amaçlı yazılımlara karşı koruma olarak yerleştirilmiştir. Windows 8'den önce, Windows Defender casus yazılımlara karşı korunur. Casus yazılımların neden olabileceği değişiklikler için, birkaç ortak Windows alanını izleyen bir dizi gerçek zamanlı güvenlik aracı da içeriyordu. Ayrıca yüklü ActiveX yazılımını kolayca kaldırabilme özelliğini de içeriyordu.

Windows 8'de, Windows Defender başka bir virüsten koruma ürünü ile birleştirildi - Microsoft Security Essentials - ve şimdi tam özellikli bir antivirüs yazılımı oldu. Windows 10'da, Windows Defender ayarları, Ayarlar'dan erişilen Ayarlar uygulaması tarafından kontrol edilir. Windows 10 Yıldönümü Güncelleştirmesi, artık hiçbir virüs bulunmasa bile, bir tost bildiriminin görünmesini ve bir tarama sonucunun duyurulmasını sağlar.

Defender'ın ana avantajı, kullanımı kolay, zaten Windows'a önceden yüklenmiş, varsayılan olarak etkin ve pratik olarak manuel yapılandırmaya gerek duymamasıdır. Aynı zamanda çok hafif bir uygulamadır ve her zaman pop-up'ları rahatsız etmeyecektir.

Windows PowerShell nedir?

Windows PowerShell, Microsoft tarafından görev otomasyonu ve yapılandırma yönetimi amacıyla geliştirilmiş bir kabuktur. Bu güçlü kabuk, .NET çerçevesine dayanır ve bir komut satırı kabuğu ve bir komut dosyası dili içerir. Başlangıçta sadece bir Windows bileşeni olan PowerShell, 18 Ağustos 2016 tarihinde herkesin PowerShell ile kullanabileceği komutlar geliştirebileceği açık kaynak kodlu ve çapraz platform haline getirildi.

Windows Defender, her zaman normal Komut İstemi Pencerenizde çalıştırabileceğiniz bir komut satırı sürümüne sahip olmuştur. Ancak, Windows 10, Windows Defender için cmdlet'leri beraberinde getirir.

Bir cmdlet ( komut-izin olarak telaffuz edilir), Windows PowerShell ortamında kullanılan hafif bir komuttur. Windows PowerShell çalışma zamanı, bu cmdlet'leri komut satırında sağlanan otomasyon komut dosyaları bağlamında çağırır. Windows PowerShell çalışma zamanı, bunları Windows PowerShell API'ları (Uygulama programı arayüzü) aracılığıyla program aracılığıyla da çağırır. Cmdlet'ler bir eylem gerçekleştirir ve genellikle bir Microsoft .NET Framework nesnesini boru hattındaki bir sonraki komuta geri döndürür. Diğer herhangi bir komut istemi eylemi gibi, sonuçları döndürmek için bir cmdlet bulunması gerekir, aksi halde bir hata görüntülenir.

Yönetici modunda Windows PowerShell nasıl başlatılır

PowerShell'i Çalıştırma Penceresine PowerShell yazarak çalıştırabilirsiniz, ancak bu tamamen kesilmeyecektir. Bunun nedeni, bu yöntemin yönetici modunda PowerShell'i çalıştırmaması ve yönetici modu olmadan, izinler nedeniyle neler yapabileceğiniz konusunda sınırlı olmanızdır. PowerShell'i yönetici modunda başlatmanın yolları.

  1. Windows 10'da bunu yapmanın en kolay ve hızlı yolu, Dosya / Windows Gezgini'ni başlatmak , herhangi bir klasörü açmak, Dosya menüsünü açmak, Windows PowerShell'i Aç'a gidin ve sonra Windows PowerShell'i Yönetici komutu olarak açın .
  2. Diğer seçenek ise C : \ Windows \ System32 \ WindowsPowerShell \ v1.0 klasörüne veya mevcut herhangi bir sürümüne gitmektir. PowerShell.exe adlı dosyaya sağ tıklayın ve yönetici olarak açın. PowerShell_ise.exe adlı dosya PowerShell'i Komut İstemi yerine Grafik Kullanıcı Arabirimi'nde sağlar, ancak ikisi de aynı cmdlet'leri kullanarak aynı şekilde çalışır.
  3. Son seçenek, Komut İstemi'ni yönetici olarak açmak ve PowerShell'i açmak için kullanmaktır. Başlat> Tüm Uygulamalar / Tüm Programlar> Windows Sistem / Donatılar> Komut İstemi Üzerine Sağ Tık'a gidin ve yönetici olarak çalıştırın . Görünen Komut İstemi penceresinde, PowerShell yazın ve Enter'a basın. Yol PS C: \ Windows \ System32> olarak değişecektir. Bu, PowerShell ortamını kullanmaya hazır olduğunuz anlamına gelir.

PowerShell'in Defender cmdlet'leri ve nasıl kullanılacağı

Hangi cmdlet'lerden bahsettik, onları nasıl kullanıyorsunuz? Bu komutları PowerShell penceresine yazmanız yeterlidir.

Windows PowerShell, Windows Defender için 12 cmdlet sağlar. Bunları görmek için, PowerShell komut satırı penceresine Get-Command -Module Defender yazın ve enter tuşuna basın. Windows Defender için cmdlet'lerin tam listesi.

SericmdletAçıklama
Add-MpPreferenceWindows Defender için ayarları değiştirir.
Get-MpComputerStatusBilgisayardaki kötü amaçlı yazılım önleme yazılımının durumunu alır.
Get-MpPreferenceWindows Defender tarama ve güncellemeleri için tercihleri ​​alır.
Get-MpThreatBilgisayarda algılanan tehditlerin geçmişini alır.
Get-MpThreatCatalogTanım kataloğundan bilinen tehditleri alır.
Get-MpThreatDetectionWindows Defender'ın algıladığı aktif ve geçmiş kötü amaçlı yazılım tehditlerini alır.
Kaldır-MpPreferenceHariç tutma veya varsayılan işlemleri kaldırır.
Kaldır-MpThreatAktif tehditleri bilgisayardan kaldırır.
Set-MpPreferenceWindows Defender tarama ve güncellemeleri için tercihleri ​​yapılandırır.
Start-MpScanBilgisayarda bir tarama başlatır.
Start-MpWDOScanWindows Defender çevrimdışı taraması başlatır.
Güncelleme-MpSignatureBilgisayardaki kötü amaçlı yazılım önleme tanımlarını günceller.

Takılırken PowerShell'den yardım alma

PowerShell kendi kapsamlı konsol tabanlı yardıma sahiptir. Takılırsanız veya yalnızca bir cmdlet ile ilgili yardım, açıklama veya örnekler istiyorsanız, bilgi almak için bu komutları kullanın.

Get-Yardım -DetaylıBu size cmdlet'in neyle ilişkili olduğunu ve gerekli parametreler dahil ne yaptığını ayrıntılı bir şekilde açıklayacaktır.
Get-Yardım -ÖrneklerBu komut size cmdlet'in nasıl kullanılacağı hakkında örnekler verecektir.
Get-Yardım -TamBu örnekler dahil ayrıntılı bir açıklama verecektir.

Herhangi bir bilgiyi geri alamazsanız, Windows Defender cmdlet yardım dosyalarını güncellemeniz gerekecektir. Yardım menüsünü güncellemek için, bu komutu Windows PowerShell penceresinde Güncelleştir-Yardım'a yazın ve en son yardım dosyalarının indirilip yüklenmesi için birkaç dakika bekleyin.

Windows Defender'ı yönetmek için PowerShell'deki birkaç standart işlem

PowerShell istemindeki Start-MpScan cmdlet'i, sisteminizde bir tarama yapmanızı sağlar. Bunlar, Windows PowerShell kullanarak bilgisayarınızda çalışabilecek Windows Defender taramalarıdır.

  1. FullScan - Bu tarama, bilgisayarınızdaki tüm dosyalar, sistem kayıt defteri ve çalışan uygulamalar için gerçekleştirilir. Tam tarama yapmak için sadece bu komutu kullanın: Start-MpScan -ScanType QuickScan
  2. QuickScan - bu, yalnızca büyük olasılıkla kötü amaçlı yazılım tarafından enfekte olabilecek alanların bir analizini yapar. Hızlı tarama yapmak için aşağıdaki komutu kullanın: Start-MpScan -ScanType FullScan
  3. CustomScan - özel bir tarama, bir kullanıcının taranacak klasörleri ve sürücüleri seçmesine izin verir. Bu tarama için bir yol parametresi gereklidir. İşte özel bir taramanın çalışması için cmdlet örneği: Start-MpScan -ScanPath C: \ Users \ User1 \ Downloads

Yeni virüs imza tanımı güncellemelerini kontrol etmek ve Windows Defender'ı güncellemek istiyorsanız, şu komutu kullanacaksınız: Update-MpSignature

Windows Defender etkin seçeneklerin, virüs tanımlama tarihinin ve sürümünün, son tarama süresinin ve diğer öğelerinin geçerli durumunu görüntülemek için bu komutu PowerShell'e yazın: Get-MpComputerStatus

Defender gerçek zamanlı korumasını devre dışı bırakmak istiyorsanız şu komutu kullanın: Set-MpPreference -DisableRealtimeMonitoring $ true

Çok daha fazla ve hatta karmaşık Windows Defender cmdlet'leri vardır, ancak bu sayfa buna değinmeyecektir. Artık temel windows defender cmdlet'lerini tanıdığınıza göre, Windows Defender imza tanımları veritabanına nasıl göz atacağımıza bakacağız.

PRO TIP: Sorun bilgisayarınız veya dizüstü bilgisayar / dizüstü bilgisayar ile yapılmışsa, depoları tarayabilen ve bozuk ve eksik dosyaları değiştirebilen Reimage Plus Yazılımı'nı kullanmayı denemeniz gerekir. Bu, çoğu durumda, sorunun sistem bozulmasından kaynaklandığı yerlerde çalışır. Reimage Plus'ı tıklayarak buraya tıklayarak indirebilirsiniz.

PowerShell kullanarak Windows Defender kötü amaçlı yazılım imza tanımları veritabanına erişme

Windows Defender imza tanımları veritabanı, windows Defender'ın bir tehdit olarak tanımlayabileceğini ve başarılı bir şekilde etkisiz hale getirebileceğini size söyler. Get-MpThreatCatalog cmdlet'i bunu yapmanıza izin verecektir. Tüm liste uzun olacak ve ekranınızdaki bir kabarma hızında üretilecek. Ancak, ne aradığınızı ve nelerin eksik olabileceğini bulmak için zamanınızı ayırabilirsiniz. Bu komutu PowerShell komut istemine yazıp enter tuşuna basmanız yeterlidir.

Get-MpThreatCatalog

Çıkışı geçici olarak duraklatmak için PC'nizdeki Duraklat / Durdur düğmesini kullanabilirsiniz. Tüm listeyi oluşturmaktan tamamen durdurmak veya iptal etmek için Ctrl + C tuşlarına basın. İkisinden birini yaparsanız, veritabanındaki her tehdit için altı alanlı bir kayıt görürsünüz. İşte bir örnek:

KategoriKimliği: 4

SeverityID: 5

TehditKid: 5145

ThreatName: TrojanDownloader: Win32 / Zlob.CH

TypeID: 0

PSComputerName:

Her alanın ne anlama geldiğini kısaca inceleyelim.

CategoryID: Bu, listelenen kötü amaçlı yazılım / tehdidin türünü gösterir. Şimdiye kadar bilinen değerler ve işaret ettikleri tehdit / kötü amaçlı yazılım türleri şunlardır:

İDKötü amaçlı yazılım türü
0Geçersiz
1adware
2Casus
3Passwordstealer
4Trojandownloader.Small.ZL
5solucan
6Arka kapı
7Remoteaccesstrojan
8Truva
9Emailflooder
10Keylogger
11Çevirici
12Monitoringsoftware
13Browsermodifier
14Kurabiye
15Browserplugin
16Aolexploit
17nuker
18Securitydisabler
19Jokeprogram
20Hostileactivexcontrol
21Softwarebundler
22Stealthnotifier
23Settingsmodifier
24Araç Çubuğu
25Remotecontrolsoftware
26Trojanftp
27Potentialunwantedsoftware
28Icqexploit
29Trojantelnet
30Filesharingprogram
31Malware_Creation_Tool
32Remote_Control_Software
33araç
34Trojan_Denialofservice
36Trojan_Dropper
37Trojan_Massmailer
38Trojan_Monitoringsoftware
39Trojan_Proxyserver
40Virüs
42Bilinen
43Bilinmeyen
44spp
45davranış
46Güvenlik Açığı
47Politika

SeverityID: Bu, bir tehdidin ne kadar kötü olduğunu belirleyen 1-5'lik bir ölçek, 5'i en yüksek olanıdır. İşte kastettikleri.

İDşiddet
0Bilinmeyen
1Düşük
2ılımlı
4Yüksek
5şiddetli

Tehdit Kimliği: Bu, bir kötü amaçlı yazılım / tehdide bir kimlik biçimi olarak atanan bir sayıdır.

ThreatName: Bu, ThreatID numarasına karşılık gelen kötü amaçlı yazılımlara verilen addır.

TypeID: TypeID değeri, Windows Defender'ın kötü amaçlı yazılımı nasıl tanımladığını belirtir. Bilinen veya bilinmeyen bir tehdit mi? İşte değerler ve ne anlama geliyor.

İDTanımlama yöntemi
0Bilinen kötü tehdit
1Davranış izleme
2Bilinmeyen tehdit
3Bilinen iyi bir tehdit
4Ağ Denetim Sistemi (NIS) tehdidi

Ekranınızda görünen tüm tehditlerin tür (0) tehditleri olduğunu fark edebilirsiniz. Bunun nedeni, daha önce eklenmiş olan imza tanımlarının çoğunun araştırılması ve ortaya koyduğu tehdit türünün belgelenmesidir.

PSComputerName: Etkinliğin çalıştığı bilgisayarın adı. Bu, genellikle bir ağda değilseniz ve bu veritabanının bir katalog değil, bir etkinlik olması için basit bir nedenle boş olacaktır.

Hatırlanacak şeyler

  1. İmza tanımları oldukça büyük bir katalog, bu yüzden ekranda herhangi bir veri görmeden önce biraz zaman alabilir. Sabırlı ol.
  2. Veri tabanı çok büyük olduğu için hafızanızı sıkıştırabilir. Ancak, cmdlet'lerin kullandıkları bellek üzerinde bir sınırı vardır ve bu mesajı görmeniz olasıdır: UYARI: Bir cmdlet'in bellek kullanımı bir uyarı düzeyini aştı. PowerShell işlemi kurtarabilir ve devam edebilir ya da sizi hemen bilgi aktarma hattına iade edebilir. Sabırlı ol. Aksi takdirde Ctrl + C'ye basarak etkinliği iptal edebilirsiniz.
  3. Ekranınız çok kalabalık hale gelirse, ekranı temizlemek için 'CLS' komutunu yazın. Bu da hafıza kullanımını artıracaktır.

Windows Defender İmza Tanımları Veritabanını Sorgulama

Bir sorgu, bir veritabanından belirli bir ölçütü karşılayan rafine bilgi / veri için basit bir taleptir. Windows Defender tanımları veritabanının neye benzediğini gördük. Artık bunun çok büyük bir veritabanı olduğunu biliyoruz. Ancak, cmdlet'inize birkaç parametre ekleyerek görüntülenebilecek bilgi miktarını her zaman kısaltabilirsiniz. İşte bunu nasıl yapabileceğinize dair birkaç örnek.

  1. En ciddi kötü amaçlı yazılım için veritabanındaki tüm kayıtları görmek için bu cmdlet'i kullanın:

Get-MpThreatCatalog | nerede nesne {$ _. SeverityID -eq 5}

Değer 5, tanımları yalnızca 5'in şiddet düzeyi ile döndürür.

  1. Windows Defender'ın tanımlayabileceği çeşitli kötü amaçlı yazılım türleri vardır. Bir tipte sıfırlamak için sadece bir TypeID parametresini veya daha uygun bir ThreatName parametresini geçirmeniz gerekir. Bir örnek sadece virüs olarak bilinen tehditleri görmek olacaktır. Bunu PowerShell komut satırı penceresine yazmanız yeterlidir:

Get-MpThreatCatalog | nerede nesne {$ _. ThreatName -Match ^ Virus. *}

Veritabanını sorgulamak için birden fazla kriteri de kullanabilirsiniz. Örneğin, tüm virüsleri 5 şiddetiyle görmeniz gerektiğini söyleyelim . Sadece bu komutu PowerShell penceresine yazınız:

Get-MpThreatCatalog | nerede nesne {$ _. SeverityID -eq 5} | nerede nesne {$ _. ThreatName -Match ^ Virus. *}

Bu şekilde, görüntülenen bilgileri daraltmak için daha fazla sorgu kriterine sahip olabilirsiniz.

  1. Veritabanınızı sorguladıktan sonra bile, ekranınızda çok fazla verinin görüntülendiğini görebilirsiniz. Ekrandaki çıktıyı bir seferde bir sayfa olarak görmeyi tercih ederseniz, PowerShell komut isteminde aşağıdaki komutu yazın:

Get-MpThreatCatalog | nerede nesne {$ _. SeverityID -eq 5} | ThreatName | öğesini seçin Daha

Veya

Get-MpThreatCatalog | nerede nesne {$ _. SeverityID -eq 5} | nerede nesne {$ _. ThreatName -Match ^ Virus. *} | ThreatName | öğesini seçin Daha

Bu komut satırı, çıkışı daha fazla komuta gönderir ve bu da çıktıyı bir seferde bir sayfa gösterir. Bir sonraki sayfaya ilerlemek için [Boşluk] tuşuna basın. [Enter] tuşuna basarsanız, ekran bir defada bir satır ilerler. Bu, görüntülemeye ve sonuçlarınız arasında gezinmeye başlamadan önce tüm verileri bir defada görüntülemek için gereken çok fazla bekleme süresini kaydedecektir.

Sorgunuzu daraltmak için kullanabileceğiniz çok daha fazla komut var. Listelediğimiz bilgileri ve örnekleri kullanarak bunu kolayca yapabilirsiniz. Windows Defender'ın ve Windows PowerShell'in sürümünün, Windows Defender için cmdlet'leri kullanıp kullanamayacağınızı belirleyeceğini unutmayın. Bu, Windows 10 için test edilmiştir. Microsoft destek sayfası, bunun Windows Server 2016 ve Windows 10 için kullanılabildiğini gösterir. Windows 7'nin perakende (güncelleştirilmemiş) sürümü bu cmdlet'leri tanıyacaktır. Aslında, Windows 7'nin PowerShell'i bu cmdlet'leri yazarken hataları atar veya boşlukları döndürür. Bu iki uygulamanın güncellenmesi (Defender ve PowerShell) sizi tekrar takip edebilir.

PRO TIP: Sorun bilgisayarınız veya dizüstü bilgisayar / dizüstü bilgisayar ile yapılmışsa, depoları tarayabilen ve bozuk ve eksik dosyaları değiştirebilen Reimage Plus Yazılımı'nı kullanmayı denemeniz gerekir. Bu, çoğu durumda, sorunun sistem bozulmasından kaynaklandığı yerlerde çalışır. Reimage Plus'ı tıklayarak buraya tıklayarak indirebilirsiniz.

Facebook Twitter Google Plus Pinterest