Windows Defender - Ajouter un dossier d'exclusion programatically

Question

Je vérifiais différentes keyloggers à des fins de recherche et sommes tombés sur Refog:

https://www.refog.com/keylogger/

Ce programme pourrait attraper beaucoup d'événements système, mais ce qui a attiré mon attention était quelque chose autre. Le programme a créé un dossier caché appelé Mpk, chemin C: \ Windows \ SysWOW64 \ Mpk. Il a été marqué en tant que dossier de fichiers du système d'exploitation car il n'était pas visible tant que je n'ai pas marqué Hide protected operating system files (recommended). Je suppose que cela peut être fait via la commande attrib comme ceci attrib +s +h "C:\Windows\SysWOW64\Mpk" donc rien de révolutionnaire.

Cependant, ils ont également ajouté une exclusion à Windows Defender pour ce dossier. Comment peuvent-ils faire cela par programme? Je cours Windows 10 Pro x64.

Answer 1

Après avoir creusé som j'ai trouvé le dossier suivant:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths 

Je ne peux pas ajouter une clé avec mon utilisateur, je reçois l'erreur suivante: Cannot create key: You do not have the requisite permissions to create a new key under Paths

Cependant SYSTEM, WinDefend et TrustedInstaller ont tous un contrôle total. Meilleure estimation est qu'ils ont utilisé quelque chose comme DevxExec devxexec.exe /user:TrustedInstaller cmd et écrit la clé de registre.

Answer 2

La bonne façon de le faire est d'utiliser l'Add-MpPreference cmdlet PowerShell. Utilisez cette cmdlet pour ajouter des exclusions aux extensions de nom de fichier, aux chemins et aux processus, et pour ajouter des actions par défaut pour les menaces hautes, modérées et faibles. Vous pouvez facilement effectuer cette opération depuis le shell cmd élevé dans Windows 10 à l'aide de la ligne de commande suivante: powershell -inputformat none -outputformat none -NonInteractive -Command Ajouter-MpPreference -ExclusionPath "C: \ Windows \ SysWOW64 \ Mpk"