如何從命令提示符使用 Windows Defender

如何從命令提示符使用 Windows Defender

Windows Defender(現在稱為 Windows Security)是 Windows 中默認的防病毒軟件,其功能不亞於任何第三方防病毒軟件。事實上,就係統資源使用而言,Windows Security 是最好的之一。雖然它的 GUI 非常易於使用,但您還可以通過命令提示符使用 Windows 安全功能。請按照本教程了解操作方法。

入門

想知道為什麼要經歷這麼多麻煩才能從命令提示符使用 Windows 安全選項?當您創建自己的腳本或計劃任務時,帶有命令提示符的 Windows 安全性非常有用。與 GUI 相比,它還允許您更好地控制單個文件和進程。

  • 您需要管理權限,因此在搜索框中鍵入命令提示符,然後選擇“以管理員身份運行”選項。
以管理員身份運行命令提示符。
  • 在 cmd 中運行 Windows Security 還需要一個名為 Microsoft Malware Protection Command Line Utility 或“MpCmdRun.exe”的小型實用程序。這是一個功能強大的工具,可以自動執行所有 Windows 安全任務。以下大多數方法都使用“MpCmdRun.exe”。
  • 命令提示符應用程序需要指向“MpCmdRun.exe”所在的文件夾,而不是默認的“C:\Windows\System32”。因此,首先找到 PC 上的 Windows Defender 文件夾。
應用程序的 Windows Defender 程序文件位置。
  • “MpCmdRun.exe”的路徑通常是“C:\Program Files\Windows Defender”,但如果您的設備上的路徑略有不同,您應該記下此位置。在接下來的幾節中它將非常有用。
Windows Defender的

Windows Defender 掃描類型列表

如果您使用過 Windows 安全 GUI,您就會知道它有四種掃描類型。以下是不同掃描類型的一些快速說明。

  • 快速掃描:顧名思義,快速掃描速度很快,並且只查找惡意軟件或病毒可能產生影響的最常見的位置,例如註冊表項和啟動文件夾。通常,快速掃描可在幾分鐘甚至幾秒鐘內完成。在命令行中,快速掃描由 表示-ScanType 1
  • 全面掃描:對整個系統進行深度掃描。根據系統中的文件數量,掃描可能需要幾個小時才能完成。在命令行中,完整掃描由 表示-ScanType 2
  • 自定義掃描:允許您對特定驅動器、文件夾或文件執行深度掃描。在命令行中,自定義掃描由 表示,-ScanType 3並且具有附加開關來告知要掃描哪個文件或文件夾。
  • 離線掃描:某些惡意軟件變種可能特別難以從您的計算機中刪除。Microsoft Defender 防病毒軟件的離線掃描可幫助您使用最新的威脅定義來清除它們。離線掃描沒有附加編號。

除此之外,還有一些其他的掃描類型,我們將一一介紹。

從命令提示符運行 Windows Defender 掃描

  • 在執行任何掃描之前,請將命令提示符文件夾路徑更改為上述步驟中顯示的 Windows Defender 文件夾位置。它應該類似於“C:\Program Files\Windows Defender”。

cd C:\Program Files\Windows Defender

  • 要在 cmd 中運行掃描,請在每種情況下使用“MpCmdRun.exe”應用程序,如下所示。

快速掃描

  • 如果您想執行快速掃描,請使用以下命令。它將有“掃描開始”和“掃描完成”消息指示。

MpCmdRun -Scan -ScanType 1

在命令提示符中進行 Windows Defender 掃描。 掃描類型 1 開始並完成。
  • 您將在系統托盤右側看到 Windows 安全通知警報,表明快速掃描已結束。
Windows Defender 掃描類型 1 結果出現在系統托盤中。
  • 檢查 Windows 安全窗口後,您將觀察最近的掃描,例如命令提示符中的快速掃描活動。
在 Windows 安全應用程序中檢查命令提示符掃描 1 測試結果以及掃描詳細信息。

全盤掃描

對於完整掃描,請將上述命令中的“1”替換為“2”。通常需要一個小時或更長時間。

MpCmdRun -Scan -ScanType 2

命令提示符中的 Windows Defender 全面掃描稱為“掃描 2”。

自定義掃描

自定義掃描可以基於計算機上任何驅動器(包括外部驅動器)上的自定義位置。

  • 在此示例中,我們複製並粘貼 D 驅動器上存儲的名為“Videos”的文件夾的路徑。
找到D盤的文件夾位置。
  • 要執行自定義掃描,請使用以下命令,同時將“FolderPath”替換為您要掃描的實際文件夾或文件路徑。我們示例中的可掃描路徑只是“D:\”,因為 D 驅動器中沒有其他文件夾。

MpCmdRun -Scan -ScanType 3 -File "FolderPath"

Windows Defender 自定義掃描位於 D 驅動器中的文件夾。

離線掃描

  • 脫機掃描作為 Windows Defender Offline (WDO) 實用程序中的 PowerShell 命令啟動。它需要重新啟動您的電腦,大約需要 15 分鐘。使用以下命令:

PowerShell Start-MpWDOScan

在命令提示符中啟動 Windows Defender 離線 (WDO) 掃描。
  • 輸入如上所示的命令後,您的 Windows PC 將重新啟動,並且屏幕上將顯示離線掃描窗口。等待幾分鐘,讓該過程完成。
Microsoft Defender 防病毒脫機掃描正在運行。
  • 當進程運行時,脫機掃描將在命令提示符窗口中繼續。您可以查看掃描的項目數和完成的百分比。
Windows Defender 命令提示符中的脫機掃描。

引導扇區掃描

Windows Defender 有另一種掃描類型,可以檢查系統引導扇區是否有任何感染。引導扇區病毒可以感染主引導記錄,從而在引導時感染整個系統。

  • 要執行引導扇區掃描,請使用以下命令。

MpCmdRun.exe -Scan -ScanType -BootSectorScan

通過命令提示符在 Windows Defender 中運行啟動扇區掃描。
  • 要取消掃描,請按鍵盤快捷鍵Ctrl+C或鍵入^C
通過命令提示符取消 Windows Defender 中的引導扇區掃描。

帶命令提示符的 Windows Defender 的應用程序

Windows Defender 命令行允許您執行許多其他操作,如下所示。

1. 列出和恢復隔離文件

當 Windows 安全部門發現威脅時,會將其移至隔離區,以免它感染您的系統。但是,可能會發生誤報,如果您認為 Windows Defender 將合法文件移至隔離區,則可以非常輕鬆地恢復它。

  • 使用以下命令列出所有隔離的文件。

MpCmdRun.exe -Restore -ListAll

運行“列出全部”命令時,Windows Defender 中沒有隔離的項目。
  • 從列表中識別該文件並記下其名稱。在上面的示例中,沒有找到隔離的項目,因此不需要執行下一步恢復。
  • 如果您發現隔離的文件,可以通過執行以下命令輕鬆恢復它。為此,請將“FileName”替換為您要恢復的實際文件名。如果命令執行成功,文件將恢復到原來的位置。

MpCmdRun.exe -Restore -Name "FileName"

在命令提示符中按名稱恢復 Windows Defender 中的隔離文件。

2. 進行簽名更新

一般來說,Windows Security 會自動使用最新的防病毒定義進行自我更新。但是,如果您想確保 Windows 安全性是最新的,請執行以下命令。

MpCmdRun.exe -SignatureUpdate

使用命令提示符在 Windows Defender 中完成簽名更新。

3.驗證Windows Defender防病毒雲服務

您的 Windows Security 是否已連接到雲?否則,運行任何掃描都是沒有用的。您只能使用命令提示符驗證這一點,而不能使用 GUI。為此,我們使用以下命令。如果存在雲連接,您將看到一條消息,例如“ValidateMapsConnection 已成功建立與 MAPS 的連接”。

MpCmdRun.exe -ValidateMapsConnection

驗證並驗證 Windows Defender 雲防病毒雲服務。

4.恢復被Windows Defender刪除的文件

這是在計算機上安裝 Windows 安全性最困難的部分。有時,防病毒軟件會刪除一兩個重要文件,並且您無法從回收站輕鬆恢復它。最好的方法是使用命令提示符。

  • 使用-GetFiles如下所示的命令。這將生成由程序刪除但仍可恢復的文件列表。等待整個列表填滿您的屏幕。

-MpCmdRun.exe -GetFiles

使用 -GetFiles 恢復 Windows Defender 刪除的文件。
  • 這些文件保存在屏幕底部顯示的文件路徑中。複製粘貼文件名,即 a. CAB 擴展(內閣文件系統)。
Windows Cmd 中恢復的文件路徑。
  • 使用文件資源管理器導航到上述路徑,然後右鍵單擊 . CAB 文件以使用 Windows 資源管理器打開它。您還可以使用在線程序。
使用右鍵單擊和 Windows 資源管理器打開文件資源管理器窗口中恢復的壓縮文件。
  • 您可以找到已刪除文件的完整列表,現在可以提取這些文件以將其返回到原來的位置。(您無法複製並粘貼它們。)
在命令提示符中使用 -GetFiles 恢復的 Windows Defender 文件的列表。

5. 刪除和恢復安全更新

如果您正在測試應用程序或編寫一些腳本,您可能希望了解 Windows 如何與最新的安全更新以及以前的 Windows 更新中的安全更新進行交互。使用命令提示符,您可以刪除然後恢復安全定義。

考慮到這一點,請按照以下步驟回滾您的病毒定義:

  • 要將定義恢復到默認值或存儲在最後一個備份副本中的定義(更新到最新備份時由 Windows 自動創建),請輸入以下命令:

MpCmdRun.exe -RemoveDefinitions -All

Windows Defender 正在運行掃描以刪除整個定義列表。
  • 此外,您只能使用以下命令刪除動態下載的安全簽名:

MpCmdRun.exe -RemoveDefinitions -DynamicSignatures

使用 Cmd 中的“刪除定義”命令動態刪除簽名。
  • 一旦您完成了刪除安全定義的工作,就可以使用以下命令恢復它們:

MpCmdRun.exe -SignatureUpdate

Windows Defender 簽名更新已開始並完成。

6.重置你的Windows安全

如果 Windows 安全遇到錯誤、誤報過多以及無法檢測到新的惡意軟件威脅,則需要將平台重置為其默認安裝版本。

  • 使用以下命令:

MpCmdRun.exe -ResetPlatform

在命令提示符中將 Windows Defender 平台重置為其原始值。
  • 有時,您只想恢復到以前安裝的版本,而不是重置,如下所示。

MpCmdRun.exe -RevertPlatform

將 Windows Defender 平台恢復到之前安裝的版本。

經常問的問題

如何阻止 Windows Defender 掃描花費太長時間?

如果掃描似乎卡住或沒有超過一定數量,則可能有太多文件和文件夾或大型程序阻礙了掃描。通常,您已經很長時間沒有執行 PC 掃描了。

最好通過安排定期自動運行快速掃描。這可以通過打開任務計劃程序應用程序來完成。打開後,轉到“任務計劃程序庫 -> Microsoft -> Windows -> Windows Defender”。選擇“Windows Defender 預設掃描”,右鍵單擊查看其屬性,然後單擊“觸發器”選項卡。您必須單擊“新建”按鈕才能創建新的計劃任務。

通過命令提示符使用 Windows Defender 是否存在任何風險?

Windows Defender 通常可以安全地與命令提示符一起使用,但您可能會通過運行錯誤的腳本或恢復利用 PC 安全漏洞的隔離文件來意外下載惡意文件。但是,正常情況下,您不應該遇到這些問題。

圖片來源:Unsplash。所有屏幕截圖均由 Sayak Boral 提供。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *