问题标签 [windows-defender]

使用 Azure，我希望能够根据 Windows Defender 值（即 AntispywareSignatureAge）查询 Windows 服务器（使用 Defender cmdlet）。使用 PowerShell 我可以运行本地脚本并检查这些值。但是，当您拥有数百台服务器时，这项任务就变得不可能了。

有没有办法使用 PowerShell cmdlet 有效地查询 Azure 中的所有这些数据？（想到的一些地方是 OMS、Log Analytics）

我刚刚遇到了一个更烦人的问题。突然，Windows Defender 开始将我的一个包含 VBA 宏代码（从浏览器下载）的 excel 文件标记为病毒。被记录的特定病毒是：

木马：O97M/Foretype.A!ml

谷歌搜索它会显示以下信息：

O97M.Downloader 是对下载其他威胁的 Microsoft Office 宏的通用检测。它们通常包含在其他 Microsoft Office 文档中，并且可能通过附件或从网站下载后到达受感染的计算机。

太好了，所以一旦 Windows Defender 检测到它，它基本上会粉碎文件，当您尝试打开它时，excel 会声称文件“已损坏”。我很想将我的 VBA 文件发布到http://www.virustotal.com，但是它包含大量无法与更广泛的社区共享的专有 VBA 代码。我想知道是否有一个网站可以用不同的条款和条件完成同样的事情？

这只是最近才开始，只影响了少数用户/客户。我不确定安装了这个的客户端的分布以及他们运行的是什么版本的 Windows Defender。我担心这种影响会增加，直到我们的大量客户受到影响。更麻烦的是，通常客户可以毫无问题地下载一个版本，但是当他们从不同的来源下载文件（相同的 VBA 代码）时遇到问题，下载源会影响文件被标记的可能性吗？

主要问题

是什么导致 excel VBA 文件被标记为“O97M”病毒，如何防止它被标记？

相关问题

我应该签署我的 VBA 宏，这会影响病毒检测的可能性吗？

它们是我可以改变的其他常见做法，会影响误报的可能性吗？

究竟什么是“Trojan:O97M/Foretype.A!ml”？窗口页面包含的信息太少，它可能不存在，赛门铁克也非常无助，（也许我在这里非常不了解）是否有用于病毒检测的集中存储库？我想人们可能不想分享它，而且我的产品因产品而异，但我会对与此相关的任何信息感兴趣......

外部库

我还使用以下外部代码：

https://gist.github.com/brucemcpherson/3414365/

https://www.thespreadsheetguru.com/the-code-vault/2014/4/23/loop-through-all-excel-files-in-a-given-folder

如何在不关闭调用工作簿的情况下使用 VBA SaveAs？

我还使用以下窗口函数：

我有一个用 C# 编写的应用程序，它是通过 InnoSetup 安装的。

启用Windows 10 的 Defender 的受控文件夹访问后，安装程序无法创建桌面图标（显示消息PersistFile::Save failed, code 0x80070002）——尽管以管理权限运行。

此外，已安装的应用程序（未以管理权限运行）无法写入用户的文件夹，例如Documents。

即使对于不会覆盖任何现有内容的新文件或文件夹也会发生这种情况。对于勒索软件保护，我希望只修改现有文件被认为是危险的。

我想到的第一个问题是：为什么我的应用程序被认为是有害的并因此被阻止？

我进行了广泛的研究以获得答案，但找不到任何有帮助的东西：

1. 来自 Mircosoft 的 Web 资源描述了哪些应用程序被认为是有害的，以及为什么找不到 - 只是在那里猜测。

2. 使用扩展验证证书（有助于抑制 SmartScreen 警告）对我的应用程序进行签名不会改变 Windows Defender 的行为。

3. 我让 Windows 应用程序认证工具包分析安装程序——它报告了几个警告和一个严重错误。我修复了套件抱怨的所有问题（除了关于 /SAFESEH 的警告，这在 InnoSetup 中是不可能的），但这并没有改变 Windows Defender 关于访问阻止的行为。

所以，我提炼的问题是：如何以有效的方式绕过 Windows Defender 对我的设置和应用程序的访问阻止？

为了深入了解问题并为实验提供基础，我在 C# 中建立了一个小型示例应用程序，

1. 在公共桌面路径、用户桌面路径、公共文档路径和用户文档路径中创建新（然后删除）目录
2. 由 InnoSetup 脚本捆绑到签名安装程序

使用 Visual Studio 构建解决方案并使用 InnoSetup 打包构建，使用启用的受控文件夹访问应该很容易重现行为。（请务必查看 README.md 以了解构建步骤的说明！）

请查看示例项目。

我制作了一个 Python 脚本，将 Windows 目录作为 zip 邮件发送给我。我使用 sched 模块添加了一个调度程序，每小时重复一次。

我试图制作一个从 Windows 启动开始的供个人使用的简单同步应用程序。

我使用pyinstaller --onefile参数将它转换为 exe，它运行完美。但几天后，Windows Defender（Windows 10 的 Windows 安全中心）将其检测为木马。

此问题不仅限于Windows 安全中心，对Virus Total的快速扫描显示4 杀毒软件将其检测为木马。

是什么让防病毒软件这么想？我认为共享代码没有任何用处，因为已经给出了适当的细节，但是，评论会让我这样做。

我已经安装了 Komodo IDE，现在我想通过运行文件来激活我的许可证，Komodo-IDE-8-Windows-SC92********.exe但它被我的 Windows Defender 阻止了：

Windows 保护您的 PC

Windows Defender SmartScreen 阻止了无法识别的应用程序启动。运行此应用程序可能会使您的 PC 面临风险。

应用程序：Komodo-IDE-8-Windows-SC92********.exe
发布者：未知发布者

我没有“仍然运行”按钮，因为该按钮已被组策略禁用。

我去找我们的 IT 安全人员，请他将此程序列入白名单。问题是，它在他的机器上运行良好，即它没有被 Windows Defender 阻止。基本上他不知道该怎么做，因为这对他有用。

我看不出他的机器和我的机器有任何（明显的）区别，我们最近都收到了新的 Windows 10 PC。

我试图将我的文件添加到注册表中的反恶意软件排除项，HKLM\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\Exclusions\Paths但没有帮助。

Windows Defender 如何知道必须阻止哪些程序以及如何对其进行修改？

请注意，如果您喜欢禁用或修改 SmartScreen，请查看配置 Windows Defender SmartScreen。但是，默认情况下，组策略每两个小时更新一次，因此更改可能不会持久。此外，您很可能会违反公司的安全规则。

今天我尝试create-react-app app-name在 CMD 中使用（）创建新的反应应用程序，出现了这个错误：

此外，如果我尝试在此文件夹中安装任何软件包（例如prop-type，我也尝试更新我node的软件包，create-react-app但没有任何改变），安装将被卡住。C:\Users\ahmed我通过在not in 中创建我的 react 应用程序解决了这个问题C:\Users\ahmed\Desktop\My File\New Folder\New Folder JS\New Folder
所以我的问题是：为什么我不能像C:\Users\ahmed\Desktop\My File\New Folder\New Folder JS\New Folder为什么需要在其中创建它那样在很长的路径中创建 react 应用程序C:\Users \username？

我正在使用以下代码来设置我的应用程序的自动启动：

当我编译它时，我的 Windows Defender 会立即删除该文件，因为它发现了“Trojan:Win32/Bearfoos.A!ml”和“Trojan:Win32/Azden.A!cl”

我已经尝试删除这些行但没有成功。这是创建自动启动应用程序的简单方法之一，所以我想这样做。

这里有点像Powershell noob ..

我正在为 Windows Defender ATP 开发 Microsoft 的 API。我需要了解如何从作为 Invoke-RestMethod 输出返回的自定义 powershell 对象中提取特定值。

这会产生以下结果：

@odata.context 值 -------------- ----- https://api.securitycenter.windows.com/api/ $metadata#Machines {@{id=f7749cafd089c66e53g21332ba0b426f6f88c953; computerDnsName=桌面-h2134uc；firstSeen=4/30/19 晚上 10:03:40；lastSeen=19 年 5 月 3 日凌晨 4 点 15 分 17 秒；操作系统平台=Windows10；操作系统版本...</p>

我的问题是 - 如何提取 id、computerDnsName 等的各个字段值。

谢谢！

也许这是一个愚蠢的问题，但我有一个日期看起来像这样的字符串：20190516060354.000000+000我想知道我是否可以自动将它转换为日期格式，如dd-mm-YYYY hh:mm.

重要提示：我不想手动解析日期。

日期来自 WMIv2 类 MSFT_MpComputerStatus => AntivirusSignatureLastUpdated

当我使用 Gradle 时，Windows Defender 不断弹出并希望将文件发送到他们的服务器。下载文件有这种模式：

我可以用文件掩码排除它们吗？我在 Windows Defender 的设置中没有看到它。

我不想排除整个文件夹，因为我想扫描其他下载的文件。