Je vérifiais différents enregistreurs de frappe à des fins de recherche et suis tombé sur Refog:
https://www.refog.com/keylogger/
Ce programme pourrait capter beaucoup d'événements système, mais ce qui a vraiment attiré mon attention, c'est autre chose. Le programme a créé un dossier caché appelé Mpk, chemin C:\Windows\SysWOW64\Mpk. Il a été marqué comme dossier de fichiers du système d'exploitation, car il n'était pas visible tant que je n'avais pas marqué Hide protected operating system files (recommended)
. Je suppose que cela peut être fait via la commande attrib comme ceci attrib +s +h "C:\Windows\SysWOW64\Mpk"
donc rien de révolutionnaire.
Cependant, ils ont également ajouté une exclusion à Windows Defender pour ce dossier. Comment peuvent-ils le faire par programme? J'utilise Windows 10 Pro x64.
Après quelques recherches, j'ai trouvé le dossier suivant:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
Je ne peux pas y ajouter de clé avec mon utilisateur. J'obtiens l'erreur suivante: Cannot create key: You do not have the requisite permissions to create a new key under Paths
Cependant SYSTEM, WinDefend et TrustedInstaller ont tous un contrôle total . La meilleure supposition est qu'ils ont utilisé quelque chose comme DevxExec devxexec.exe /user:TrustedInstaller cmd
et écrit la clé du registre.
La façon correcte de procéder consiste à utiliser l'applet de commande PowerShell Add-MpPreference. Utilisez cette applet de commande pour ajouter des exclusions pour les extensions de nom de fichier, les chemins d'accès et les processus, et pour ajouter des actions par défaut pour les menaces élevées, modérées et faibles.
Vous pouvez facilement effectuer cela à partir du shell cmd élevé dans Windows 10 à l'aide de la ligne de commande suivante:
powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "C:\Windows\SysWOW64\Mpk"
Exécuter dans un shell élevé (recherchez cmd dans le menu Démarrer et appuyez sur Ctrl+Shift+Enter).
powershell -Command Add-MpPreference -ExclusionPath "C:\tmp"
powershell -Command Add-MpPreference -ExclusionProcess "Java.exe"
powershell -Command Add-MpPreference -ExclusionExtension ".Java"
powershell -Command Remove-MpPreference -ExclusionExtension ".Java"
Accéder à PowerShell
Add-MpPreference -ExclusionPath "C:\Temp"
Référence: https://docs.Microsoft.com/en-us/powershell/module/defender/add-mppreference?view=win10-ps
La façon la plus simple de le faire est d'utiliser PowerShell de CMD avec des privilèges élevés (comme réponse de balrob ), mais vous pouvez également utiliser les variables d'environnement PowerShell pour vous faciliter la vie; par exemple:
powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath $ENV:USERPROFILE\Downloads
qui ajoutera le dossier Téléchargements de l'utilisateur actuel, par exemple. C:\Users\Susana\Downloads.
Pour obtenir la liste des variables d'environnement fournies par PowerShell, vous pouvez utiliser cette commande PowerShell:
Get-ChildItem Env: | Sort Name
Comme vous pouvez le voir, il existe la variable windir . Ils pourraient l'utiliser en plus des sous-dossiers que vous avez mentionnés.