Windows Defender 重大改进，使排除文件夹的恶意软件更难绕过扫描

苹果技巧 • 2023年8月25日 15:50 • 投稿

微软对自家的Windows Defender很有信心，而最近也受到高度肯定，在AV-TEST 2021年12月与2021年10月里面获得特别高的排名与得分，但在AV-Comparatives对Defender的评价要差得多，与McAfee等一些替代品有相当的落差。
Windows Defender 重大改进，使排除文件夹的恶意软件更难绕过扫描

Windows Defender 重大改进，使排除文件夹的恶意软件更难绕过扫描

虽说在两种排行中存在分数差异，但有件事却两项评估中都获得肯定，Windows Defender的分数在 2021 年下半都变得更好，这表示微软在该领域取得良好的显著进展，随着时间进入 2022 年，它仍然继续在改良中，没有因此而停下来。
Windows Defender 重大改进，使排除文件夹的恶意软件更难绕过扫描

一位名为 CISOwithHoodie 的安全研究人员在推特上面表示，近期微软对于 Windows Defender 的排除项目权限做出了非常重要的改变。在过去，被设定为排除的文件夹和目录是所有人都可以看到，并且能够从注册表地址「HKLM\Software\Microsoft\Windows Defender\Exclusions」中轻松获得。但在这次的修改后，仅具备管理员权限的人员才能查看那些文件夹与文件被设定为排除扫描项目（如下图）。

在之前，你可以试着以命令查询注册表以查找排除项，在微软这次更改后，用同样发法来查找亦会出现错误信息，指出访问遭到拒绝，如下图所示：

CERT 的漏洞分析师Will Dorman也在推特中证实，基于注册表的策略更改现在也受到保护。

如果你想知道为什么这个更动为什么如此重要，那么下面笔者来帮你释疑。当排除项目是所有人都可以看到的时候，不肖人士就能够轻松地将恶意有效负载偷偷地塞入其中一个被你排除的文件夹中，已完全绕过Windows Defender的扫瞄。截至目前为止还不晓得微软会在什么时间点提供更新，但普遍猜测会是在最近的二月星期二更新中引进。