哪位大佬写几行代码做一个排除目录的测试。。

ELOHIM

我不会写，也没有IDE，哪位大佬得闲写一下这个，方便让大家测试一下，不同用户级别，默认权限下，WD真的可以被写入排除目录而不通知用户吗？

峪飞鹰

298行的c不知道哪里声明的，里面是啥。不过看样子，是把命令行反转后添加的，所以里面存的数据也是前后颠倒的，目的是过扫描器。

其实就是powershell来添加排除文件 或者目录，你如果可以在无管理员提权的powershell里执行成功的话，那就可以排除，否则是不行的。另外powershell可以选择禁止运行无签名的脚本，那么如果是无签名的话，应该不会生效。

ELOHIM

峪飞鹰 发表于 2020-12-10 11:45
298行的c不知道哪里声明的，里面是啥。不过看样子，是把命令行反转后添加的，所以里面存的数据也是前后颠倒 ...

不会写powershell语句。。。怎么添加排除文件或目录啊。。

峪飞鹰

ELOHIM 发表于 2020-12-10 14:18
不会写powershell语句。。。怎么添加排除文件或目录啊。。

简单的例子，打开Powershell（管理员或非管理员），输入下面的命令行，回车即可

1. Add-MpPreference -ExclusionPath "C:\Temp"

复制代码

试了下非管理员权限Powershell，提示 Add-MpPreference : You don't have enough permissions to perform the requested operation.

喀反

https://docs.microsoft.com/en-us ... rence?view=win10-ps
不知道木马病毒能否利用此命令让自己加入到排除项

ELOHIM

@峪飞鹰 @喀反
我知道这是MD的命令，应该不会提示，但是会记录日志提示是否是恶意软件所为。我想知道有没有别的命令或者写入方法………谢谢

峪飞鹰

ELOHIM 发表于 2020-12-13 23:45
@峪飞鹰 @喀反
我知道这是MD的命令，应该不会提示，但是会记录日志提示是否是恶意软件所为。我想知道有没 ...

MD的排除其实是存在注册表里的，如果有驱动或者权限级别运行在管理员权限中的程序，可以通过修改注册表来实现添加排除目录。但这个注册表有权限限制，只有3个账户可以修改：SYSTEM, WinDefend 和 TrustedInstaller。然而所有的服务进程（或者说大部分吧），都是运行在SYSTEM上的，那么，如果你放进来了这种服务，自然修改也不在话下。至于ring0的驱动，那就可以更容易了。

不过我猜想，你想知道的是，如果有未知的进程，做这种尝试的时候，是否会被WD拦截。嗯，这就不知道了，你得自己试试了。比如，写个C#的程序，以管理员身份运行，然后run上面的cmdlet，或者直接用这个工具来run个cmd再操作。

ELOHIM

峪飞鹰 发表于 2020-12-14 09:43
MD的排除其实是存在注册表里的，如果有驱动或者权限级别运行在管理员权限中的程序，可以通过修改注册表来 ...

非常感谢！