微软Defender一个可能会影响性能的奇怪BUG（还是说，设计本就如此？）

ANY.LNK

偶然间发现的，预计影响不会很大（至少在我的印象里，很少有人会去执行这个命令）


复现：
此问题出现在尝试使用命令行手动移除Defender的动态安全智能更新时。执行此处说明的MpCmdRun.exe -removedefinitions -dynamicsignatures命令时虽显示命令已经执行完成，但MsMpEng.exe进程仍然保持高占用（本地测试时最高占用约30%CPU，500MB内存，并伴有高磁盘占用），且伴有多个MsMpEngCP.exe子进程。

值得注意的是，无论MsMpEng.exe和MsMpEngCP.exe任何单一进程的占用如何波动，其（CPU）占用总值几乎是不变的，且如同下图一样进行循环。



另外，在C:\ProgramData\Microsoft\Windows Defender\Definition Updates目录下会不断循环创建并删除多个格式为{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}的文件夹，其中包含文件与下图类似


在“事件查看器”中，也可注意到伴随着上面的循环出现的多条ID为2011“放弃过时的安全智能更新”日志，每循环一次出现一条，格式如下。

1. Microsoft Defender 防病毒 使用动态安全智能服务放弃过时的安全智能更新。
   
2.          当前安全智能版本: <主安全智能版本>
   
3.          安全智能类型:
   
4.          当前引擎版本: <引擎版本>
   
5.          动态安全智能类型: 安全智能更新
   
6.          持久性路径: C:\ProgramData\Microsoft\Windows Defender\Scans\RtSigs\data\<40位十六进制数名文件>←清除顺序从小到大
   
7.          动态安全智能版本: 0.0.0.0
   
8.          动态安全智能编译时间戳: <时间>
   
9.          删除原因: 手动
   
10.          持久性限制类型:
    
11.          持久性限制:

复制代码

分析（推断）：

可推断出微软使用了循环判断结构以清除不再需要的动态安全智能更新，但设计上的缺陷使得一个简单的操作逻辑变得复杂。Defender会对每个动态安全智能更新进行一个复杂的逻辑判断再删除。这在一般的自动更新中不会造成太大的问题，因为只有部分动态安全智能更新满足删除的要求且保证必要的动态安全智能不被删除（这或许也是更新时的耗时且较高占用的原因）。

但是，当执行前文所述的清除所有动态安全智能的命令时使用此套逻辑就显得过于冗长了。尤其是在动态安全智能较多的情况下，逐条判断并删除的操作会导致较长时间的系统资源高占用，并且微软的动态安全智能更新并不仅在有云参与的检测威胁情况下才下发，因此积累的动态安全智能可能会更多。

至于为何后台的操作逻辑尚在执行命令行界面却显示已完成，则不得而知。


影响：

目前已知会造成长时间的高占用与高耗电，具体情况可能取决于设备的性能，可能会导致卡慢。


解决方案：

暂无，也许未来某天微软会发布更新修复。不过建议除非已明确后果，否则没事儿别总用命令行进行专业操作。另外，真正用命令行进行Defender更新的人或许很少，所以此问题也许少有人遇到，不会引起太大的影响。