畅想一下怎么拯救Microsoft Defender吧

Vincent丶007

郢都离人 发表于 2023-12-12 12:30
卡的应该是内核隔离，关掉试试咯
我这边内核隔离会很明显的卡老电脑

原来以为是这个，后来关掉依然是没有改善，我打开个D盘能给我卡死，打开个微信或者其他程序经常卡的无响应，打开任务管理器看 MD那进程非常占CPU，不知道是啥情况  MD我都用5年了

oiiren

其实我一直觉得md挺好的 最大的优点就是安静 误报少 扫描确实很慢 完事卡exe的情况可能是我对这方面感知不强吧
一直没感觉卡exe 所以我从win7时代的mse1.0就开始用了 当然中间也换过几次卡巴或者eset啥的 还有那时候的毛豆组合 但是一直觉得还是md安静占用少 最重要的是他是微软自家的 兼容肯定更好 而且现在的网络环境我装啥都不中毒了 于是就一直在用系统自带的md到今年 但是九十月份的时候md出了个bug  发现个病毒 其实就是个破解文件 之后他就一直报毒  点击处理了过了几分钟还是报 后来我甚至把文件都删了 他还是会报 没办法我就换卡巴免费版了

喀反

Vincent丶007 发表于 2023-12-12 13:05
原来以为是这个，后来关掉依然是没有改善，我打开个D盘能给我卡死，打开个微信或者其他程序经常卡的无响 ...

你这个估计是系统出问题了，重装解决。WD卡exe确实有这种情况，但不是特别严重，卡的原因可能是WD云不稳定，或者是smartscreen云不稳定。

Vincent丶007

应该是网络导致云的问题

ANY.LNK

微软目前没有OEM或将Defender的API公开的计划，之前有限的公开很快就被攻击者滥用了，只能说这和浏览器还是不一样的，没办法说公开就公开……

微软这套操作逻辑差不多得有十年没有大的变动了吧，想改也不是件容易的事……

只能在某些方面就我在这几年里测试Defender里的经验而谈：

1.压缩包尤其是内含大量样本的压缩包，一定要解压缩后再测试，这能显著缩短测试的时间。一年多前我还没有更新Win11且用着性能一般的设备的时候，一起解压扫描hsks分享的多个每个含有上千个样本的压缩包也能保证在2小时内完成；微软处理有多个样本的压缩包时会按照威胁ID依次处理每个目标文件，每次处理都会把压缩包完全解压，删除指定威胁后又再压缩回去，再启动下一个同样的例程。（该操作由MpCleanThreats()函数执行，疑似在mpengine.dll内）如此循环往复消耗的时间就会特别长

2.使用命令行如 MpCmdRun -scan -scantype 3 -file "C:\SamplePath"进行扫描，该方法最大的优点就在于扫描完成后可以自动执行处理流程，省去了到Windows安全中心UI手动点“执行操作”的麻烦，（UI操作可能还会有点卡）

3.自动化工具
这是我用的工具包：https://pan.huang1111.cn/s/EOgLib

其中dllrun.exe用于运行DLL样本；EfficacyTest.exe用于测试双击，能自动运行一个文件夹下的样本（显示的结果仅供参考，因为有部分是跑出了恶意行为才被拦截的，也要算上）；virlib.exe可以自动修正文件扩展名；杀毒软件真实查杀结果统计工具.exe可用于统计结果

---

PS：找工具的时候发现了一个之前的旧帖子，已经提到过了如何测试Defender：https://bbs.kafan.cn/thread-2183792-1-1.html，看样子可以更快的得到结果（或许还会比以上我提到的所有方法还有效？）

con16

MD我是碰到延遲問題，有開防勒索保護那功能。
沒有允許的程序居然可以存取保護資料夾，隔幾天才出現通知說該程序阻止 .....
不知道是不是智慧型應用程序控制的問題，這台電腦是重新安裝只用MD沒有用其它第三方防毒軟件。

那個UI抓設定， 低使用權限還有cpu使用率建議不要亂調降，有可能這延遲問題會更嚴重。萬一延遲太久才發現等於漏毒。

初心．杰

ANY.LNK 发表于 2024-1-7 15:38
微软目前没有OEM或将Defender的API公开的计划，之前有限的公开很快就被攻击者滥用了，只能说这和浏览器还是 ...

编辑

GalaxyS24Ultra

初心．杰 发表于 2023-12-11 12:16
我这个帖子畅想的是2345这种东西，接管Windows defender，然后技术是Windows defender的

那2345会自杀