Windows Defender e processi di Windows

3

Quando apro il task manager, vedo i processi di Windows (servizi) in basso. Come programmatore, voglio creare un processo / servizio di Windows per la ricerca sulla sicurezza (Windows Defender) ma ho alcune domande,

quando un eseguibile viene eseguito come servizio Windows e come amministratore, Windows Defender lo scansiona ancora per i thread?

    
posta turmuka 10.01.2018 - 19:19
fonte

3 risposte

2

Windows Defender, come quasi tutti i software antivirus / antimalware, funziona con accesso estremamente privilegiato e, per impostazione predefinita, esegue la scansione di tutto ciò che può. Questo include sicuramente i servizi di Windows, anche quelli in esecuzione come [LOCAL] SYSTEM (in realtà sarebbe un po 'strano eseguire un servizio come amministratore, l'amministratore è un account utente, mentre SYSTEM è un account di servizio. / p>

Defender esegue anche la scansione di file che non vengono eseguiti. Vale a dire, eseguirà la scansione del file binario quando lo si è creato (compilato) o quando lo si è spostato nel sistema (scaricando o copiando da una memoria esterna o altro). Potrebbe essere possibile passare in modo sicuro la scansione dei file ma rimanere catturato dalla scansione eseguibile, a seconda delle firme che cerca in ciascun caso. È anche leggermente possibile che il contrario possa essere vero, anche se sarebbe strano (e un po 'inutile, se non si riesce a passare la scansione dei file non si avrà la possibilità di eseguire).

    
risposta data 11.01.2018 - 01:26
fonte
1

Come dettagliato qui su questo KB Microsoft pagina :

[...]By default, the system account is granted full control to all files on an NTFS volume. Here the system account has the same functional privileges as the administrator account.

Enfasi sulla mia.

Il servizio antimalware di Windows Defender viene eseguito con questo utente SYSTEM, essenzialmente dando al servizio l'accesso a tutto, inclusi tutti gli altri processi, indipendentemente dal fatto che siano in esecuzione con privilegi amministrativi o meno.

Se è ancora necessario accertarsi di cosa Windows Defender esegue la scansione in tempo reale, ho inviato una risposta a una domanda Super User qui che ti spiega come utilizzare Process Hacker per vedere quali file vengono letti dal servizio.

Process Hacker can be used to view the files that are being scanned as well. Once installed, run the program as an Administrator, or click Show details for all processes in the Hacker dropdown menu.

From there, go to the Disk tab. All files that are being read or written to will be displayed; any file in that list that says it is being read by MsMpEng.exe (Defender's main executable) is being scanned. It's easier to see what is being scanned if you paste MsMpEng.exe into the search bar at the top right of the window and then click the File column to sort alphabetically, as this filters the list so that only the files being scanned by Defender appear.

    
risposta data 12.01.2018 - 10:49
fonte
-2

Apri la finestra di dialogo Esegui premendo il tasto "Windows" e il tasto "R" Digitare "services.msc" nella finestra di dialogo Apri Premere il tasto Invio o fare clic sul pulsante OK Cerca "Centro sicurezza PC" nell'elenco dei servizi Fare clic con il tasto destro su Security Center Fai clic su Riavvia

    
risposta data 01.09.2018 - 13:43
fonte

Leggi altre domande sui tag