Как пользоваться Защитником Windows Defender/Security из командной строки

Защитник Windows Defender, теперь известный как Windows Security, является антивирусным ПО по умолчанию в Windows и не уступает по своим возможностям антивирусным программам сторонних производителей. Более того, если говорить об использовании системных ресурсов, то Windows Security является одним из лучших. Хотя графический интерфейс программы довольно прост в использовании, вы также можете использовать функции Windows Security через командную строку.

Начало работы

Управлять Windows Security с помощью командной строки весьма полезно при создании собственных сценариев или запланированных задач. Кроме того, командная строка позволяет лучше контролировать отдельные файлы и процессы по сравнению с графическим интерфейсом.

  1. Для этого необходимы привилегии администратора, поэтому введите в строке поиска Command Prompt и выберите опцию «Запуск от имени администратора».
  2. Для запуска Windows Security внутри cmd также требуется небольшая программа-утилита Microsoft Malware Protection Command Line Utility, или «MpCmdRun.exe». Это мощный инструмент, автоматизирующий все задачи Windows Security. В большинстве описанных ниже методов используется «MpCmdRun.exe.»
  3. Вместо стандартного «C:\Windows\System32» приложение «Командная строка» должно указывать на папку, в которой находится «MpCmdRun.exe». Поэтому сначала найдите папку Windows Defender на своем компьютере.
  4. Путь для «MpCmdRun.exe» обычно «C:\Program Files\Windows Defender», но если на вашем устройстве он несколько отличается, то запишите или запомните это место. Оно очень пригодится в дальнейшем.

Все типы сканирования Windows Defender

Если вы пользовались графическим интерфейсом Windows Security, то знаете, что он имеет четыре типа сканирования. Ниже приведены краткие пояснения к различным типам сканирования.

  1. Быстрое сканирование: Как следует из названия, быстрое сканирование выполняется только в наиболее часто встречающихся местах, таких как ключи реестра и папки запуска, где вредоносная программа или вирус могут оказать свое влияние. Как правило, быстрое сканирование завершается в течение нескольких минут или даже секунд. В командной строке Быстрое сканирование вызывается параметром -ScanType 1.
  2. Полное сканирование: выполняет глубокое сканирование всей системы. В зависимости от количества файлов в системе сканирование может занять несколько часов. В командной строке полное сканирование можно вызвать параметром -ScanType 2.
  3. Настроенное сканирование: позволяет выполнить углубленное сканирование определенного диска, папки или файла. В командной строке Custom scan вызывается параметром -ScanType 3 и далее указывается путь до указаного файла или папки.
  4. Offline scan: некоторые разновидности вредоносных программ особенно трудно удалить с компьютера. Автономное сканирование Microsoft Defender Antivirus помогает избавиться от них, используя актуальные определения угроз. Автономное сканирование не имеет номера.

Кроме них, существует еще несколько дополнительных типов сканирования, которые мы рассмотрим по порядку.

Запуск сканирования Windows Defender из командной строки

Перед выполнением сканирования измените путь к папке командной строки на путь к папке Windows Defender, указанный в шаге выше. Он должен быть примерно таким: «C:\Program Files\Windows Defender.»

cd C:\Program Files\Windows Defender

Для запуска сканирования в cmd используйте в каждом случае приложение «MpCmdRun.exe», как показано ниже.

Быстрое сканирование

Если вы хотите выполнить быстрое сканирование, используйте следующую команду. При этом будут отображаться сообщения «сканирование начато» и «сканирование завершено».

MpCmdRun -Scan -ScanType 1

В правой части системного трея появится уведомление Windows Security, указывающее на завершение быстрого сканирования.

После проверки окна Windows Security вы увидите последние сканирования, например, активность быстрого сканирования в Command Prompt.

Полное сканирование

Для полного сканирования замените «1» в приведенной выше команде на «2». Обычно такое сканирование занимает час или более. 

MpCmdRun -Scan -ScanType 2

Пользовательское сканирование

Пользовательское сканирование можно запустить на любом диске компьютера, включая внешние диски.

В данном примере мы копируем и вставляем путь к папке «Videos», хранящейся на диске D.

Чтобы выполнить пользовательское сканирование, используйте приведенную ниже команду, заменив «FolderPath» на путь к реальной папке или файлу, который вы хотите просканировать. В нашем примере сканируемый путь будет просто «D:\», поскольку на диске D нет других папок.

MpCmdRun -Scan -ScanType 3 -File "FolderPath"

Автономное сканирование

Автономное сканирование запускается командой PowerShell в утилите Windows Defender Offline (WDO). Оно требует перезагрузки компьютера и занимает около 15 минут. Используйте следующую команду:

PowerShell Start-MpWDOScan

Как только вы введете команду, как показано выше, ваш компьютер под управлением Windows перезагрузится, и на экране появится окно автономного сканирования. Подождите несколько минут, пока процесс завершится.

Во время выполнения процесса автономное сканирование будет продолжаться в окне Командной строки. Вы можете увидеть количество просканированных элементов и процент выполнения.

Проверка загрузочного сектора

Windows Defender имеет еще один тип проверки, который проверяет загрузочный сектор системы на наличие инфекций. Вирус в загрузочном секторе может заразить главную загрузочную запись, которая, в свою очередь, заражает всю систему при загрузке.

Чтобы выполнить проверку загрузочного сектора, используйте следующую команду.

MpCmdRun.exe -Scan -ScanType -BootSectorScan

Чтобы отменить проверку, нажмите комбинацию клавиш Ctrl + C или введите *^*C.

Применение Windows Defender в командной строке

Командная строка Windows Defender позволяет выполнять ряд других действий, как показано ниже.

1. Перечисление и восстановление файлов, помещенных в карантин

Когда Windows Security обнаруживает угрозу, он перемещает ее в карантин, чтобы она не заразила вашу систему. Однако возможны ложные срабатывания, и если вы считаете, что Защитник Windows переместил в карантин легитимный файл, его можно легко восстановить.

Используйте следующую команду, чтобы вывести список всех файлов, помещенных в карантин.

MpCmdRun.exe -Restore -ListAll

В списке определите файл и скопируйте в буфер обмена его имя. В приведенном выше примере карантинные объекты не были обнаружены, поэтому следующий шаг восстановления не требуется.

Если вы обнаружили карантинный файл, вы можете легко восстановить его, выполнив следующую команду. Для этого замените «FileName» на реальное имя файла, который требуется восстановить. Если команда выполнена успешно, файл будет восстановлен в исходное местоположение.

MpCmdRun.exe -Restore -Name "FileName"

2. Выполнение обновления сигнатур

Как правило, Windows Security автоматически обновляет себя последними антивирусными определениями. Однако если вы хотите убедиться в актуальности Windows Security, выполните следующую команду.

MpCmdRun.exe -SignatureUpdate

3. Проверка облачной службы антивируса Windows Defender

Подключен ли ваш Windows Security к облаку? В противном случае нет смысла запускать сканирование. Проверить это можно только с помощью командной строки, а не графического интерфейса. Для этого мы используем следующую команду. Если соединение с облаком есть, вы увидите сообщение типа: «ValidateMapsConnection successfully established a connection to MAPS

MpCmdRun.exe -ValidateMapsConnection

4. Восстановление файлов, удаленных защитником Windows

Это самая сложная часть работы с защитой Windows на компьютере. Иногда антивирус удаляет один или два важных файла, и восстановить их из корзины не так-то просто. Лучше всего для этого использовать командную строку.

  1. Используйте команду -GetFiles, как показано ниже. В результате будет сформирован список удаленных программой файлов, которые еще можно восстановить. Подождите, пока весь список не появится на экране.
    -MpCmdRun.exe -GetFiles

  2. Эти файлы сохраняются в файле, путь к которому показан в нижней части экрана. Скопируйте-вставьте имя файла с расширением .CAB (Cabinet File System).
  3. Перейдите по указанному пути с помощью File Explorer (Проводник) и щелкните правой кнопкой мыши на файле .CAB, чтобы открыть его с помощью Windows Explorer. Можно также воспользоваться онлайновыми программами.
  4. Вы найдете целый список удаленных файлов, которые теперь можно извлечь, чтобы вернуть их на прежнее место. (Копировать и вставлять их нельзя.)

5. Удаление и восстановление обновлений системы безопасности

Если вы тестируете приложения или выполняете сценарии, вам может понадобиться посмотреть, как Windows взаимодействует с последними обновлениями безопасности, а также с обновлениями, полученными в предыдущем выпуске Windows. С помощью командной строки можно удалить, а затем восстановить определения безопасности.

Примечание: мы настоятельно рекомендуем восстановить определения до последних версий после их удаления, чтобы ваш компьютер оставался защищенным от новейших угроз.

Для этого выполните следующие действия по откату определений вирусов:

  1. Для восстановления определений до значений по умолчанию или сохраненных в последней резервной копии (автоматически создаваемой Windows при обновлении до последних версий) введите следующую команду:
    MpCmdRun.exe -RemoveDefinitions -All

  2. Кроме того, удалить динамически загружаемые сигнатуры безопасности можно только с помощью этой команды:
    MpCmdRun.exe -RemoveDefinitions -DynamicSignatures

  3. После удаления определений безопасности их нужно восстановить с помощью этой команды:
    MpCmdRun.exe -SignatureUpdate

6. Сброс настроек безопасности Windows

Если при работе Windows Security возникают ошибки, слишком много ложных срабатываний и не удается обнаружить новые вредоносные программы, значит, пришло время сбросить платформу до установленной по умолчанию версии.

  1. Используйте следующую команду:
    MpCmdRun.exe -ResetPlatform

  2. Иногда вместо сброса требуется просто вернуться к ранее установленной версии, как показано выше.
    MpCmdRun.exe -RevertPlatform

Часто задаваемые вопросы

✅ Как сделать так, чтобы сканирование Windows Defender не занимало слишком много времени?

Если сканирование застопорилось или не продвигается дальше определенного числа, возможно, его задерживает слишком большое количество файлов и папок или большая программа. Чаще всего сканирование ПК не проводилось очень давно.

Лучше автоматизировать запуск Quick scan на регулярной основе, запланировав его. Это можно сделать, открыв приложение «Планировщик заданий». Когда оно откроется, перейдите в раздел «Библиотека планировщика задач -> Microsoft -> Windows -> Windows Defender». Выберите «Windows Defender Scheduled Scan», щелкните правой кнопкой мыши, чтобы просмотреть его свойства, и перейдите на вкладку «Trigger». Для создания новой запланированной задачи необходимо нажать кнопку «New».

✅ Существуют ли какие-либо риски, связанные с использованием Windows Defender с Command Prompt?

Windows Defender в целом безопасен для использования с Command Prompt, но вы можете случайно загрузить вредоносные файлы, запустив неправильный сценарий или восстановив помещенный в карантин файл, который использовал бреши в системе безопасности вашего ПК.

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Вдохновлен www.maketecheasier.com

Похожие статьи

Комментарии (0)