Microsoft Defender постоянно сканирует пакеты iso-образа Kali Linux, помечает как вредоносные и дублирует угрозы в журнале событий
Дисклеймер: статья предназначена для ребят, которые только учатся на инфобез и могут наступить на те же грабли, что и я. И предназначена для того, чтобы немного облегчить им жизнь.)
Предисловие: не так давно, за время учебы мне понадобилось скачать iso-файл с Kali Linux для виртуальной машины.
Но после неосмотрительного проведения полного сканирования системы встроенным антивирусом Windows, произошло кое-что неприятное. Microsoft Defender добрался до моего жесткого диска, где лежал iso-файл Kali Linux, взяв его в оборот, начал выдавать целый ворох угроз в журнале событий, требуя предпринять какие-нибудь действия: поместить угрозы в карантин, удалить их или разрешить на устройстве.
Из самих описаний этих угроз было четко ясно, что дело действительно в образе.
Однако ни один вариант из предложенных антивирусом нам не подходит. Удалить угрозы? Они часть iso-файла, это не сработает (хотя поспешные и нелепые попытки были). Поместить в карантин? Та же нелепость. Разрешить все угрозы? Долго и рискованно (пакетов очень много).
В спешке и панике первая мысль была — удалить исошник, однако это было невозможно, поскольку Microsoft Defender уже взаимодействовал с ним и не мог прекратить сканирование. При попытке удалить iso-файл открывалось окно с бесконечной загрузкой удаления.
Изначально предпринимались попытки найти ответ в интернете, но особо ничего толкового не нашлось. Кто-то предлагал зайти и удалить файл в безопасном режиме, отключив антивирус, кто-то смог завершить нужный процесс в диспетчере задач. Но все это особо не помогало.
Ссылки на форумы в поисках ответа:
https://www.reddit.com/r/Windows10/comments/kjq8mv/i_cant_delete_a_kali_linux_iso/
https://www.tenforums.com/antivirus-firewalls-system-security/175472-i-cant-delete-iso-file.html
Решение:
Закинуть папку с iso-файлом в исключения. Как оказалось, это был самый простой и работающий вариант.
После этого антивирус перестанет кричать об угрозах и немного успокоится, а через какое-то время iso-файл можно будет удалить. Однако с каждым последующим включением вы все равно столкнетесь с ситуацией, что антивирус будет сканировать систему и, на основании предыдущих событий будет дублировать их как предупреждения. Таким образом события в журнале текущих угроз будут постоянно дублироваться, а сам журнал — ужасно тормозить. Исправляем.
Как решить проблему с постоянным сканированием уже несуществующих угроз?
Эту проблему решить удалось, опираясь на информацию из этих источников.)
У человека на киберфоруме была такая же головная боль. Но вовремя подоспевший отвечающий дал весьма полезную ссылку.
В конце концов, мне помог такой способ:
Заходим в PowerShell от имени администратора —> вводим следующую команду:
Set-MpPreference -ScanPurgeItemsAfterDelay 1
"Set-MpPreference настраивает параметры сканирования и обновлений Защитника Windows. Вы можете изменить расширения имен файлов исключения, пути или процессы и указать действие по умолчанию для высокого, умеренного и низкого уровней угрозы. "
Конкретно эта команда устанавливает задержку (в днях), после которой история в журнале защиты будет удалена.
Осталось только ждать. Отматывать вперед системное время нет необходимости, поскольку журнал событий должен очиститься без каких-либо проблем спустя какое-то время (максимум сутки).
Чтобы вернуть все как было, нужно просто снова ввести эту команду в PowerShell от имени администратора и 1 заменить на 0. Тогда список удаляться не будет. Можно также поставить и любое другое значение дней задержки информации в журнале.
