我出于研究目的检查了不同的键盘记录器,并偶然发现了 Refog:
https://www.refog.com/keylogger/ https://www.refog.com/keylogger/
这个程序可以捕获很多系统事件,但真正引起我注意的是其他东西。该程序创建了一个名为Mpk的隐藏文件夹,路径为C:\Windows\SysWOW64\Mpk。它被标记为操作系统文件夹,因为在我取消标记之前它是不可见的Hide protected operating system files (recommended)
。我想,这可以通过这样的 attrib 命令来完成attrib +s +h "C:\Windows\SysWOW64\Mpk"
所以没有什么革命性的。
不过,他们还为此文件夹添加了 Windows Defender 排除项。他们如何以编程方式做到这一点?我运行的是 Windows 10 Pro x64。
执行此操作的正确方法是使用 Add-MpPreference PowerShell cmdlet。使用此 cmdlet 可以添加文件扩展名、路径和进程的排除项,并添加针对高、中和低威胁的默认操作。
您可以使用以下命令行从 Windows 10 中提升的 cmd shell 轻松执行此操作:
powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "C:\Windows\SysWOW64\Mpk"
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)