微软杀毒软件“监控排除”功能是怎样的？在小编的印象中

文章图片

文章图片

在小编的印象中，病毒（含恶意软件）最猖獗的时期是WindowsXP到Windows7之间的那些年，那个时候电脑安装杀毒软件是刚需中的刚需，每次重装系统联网之前最重要的一件事那就是安装杀毒软件，不安装杀毒软件裸奔是不可想象的事情。
但是这种情况在2015年微软发布Windows10系统，自带杀毒软件MicrosoftDefender之后，逐步发生了改变。因为经过多年的升级迭代，之前很多人看不上眼的MicrosoftDefender已经变得很强大了，让电脑不用再另外安装杀毒软件变成了事实，包括小编自己。
但是“安全”都是相对的，没有绝对的，杀毒软件和病毒之间的斗争始终是道高一尺，魔高一丈，此消彼长的，最近几个月对于MicrosoftDefender ，坊间也有不少负面评价和争议，而且还爆出了一个比较严重的漏洞。
一般来说，病毒或者系统漏洞的原理涉及的知识都非常专业、深奥，大多数普通朋友、非专业人士都很难看懂理解，但是这个被爆出来的漏洞比较另类例外，它真的非常简单、粗暴和低级，很好理解。

文章图片

文章图片

所有的杀毒（安全）软件都会向用户提供这样一个功能，那就是位置“监控排除” ，用户可以手动指定硬盘上的某些文件目录不被杀毒软件所监控，因为在现实中，某些正常软件被杀毒软件反复误报、误杀、误删除关键文件，从而导致某些软件无法正常工作的情况确实存在。
所以，这个“监控排除”功能在客观上是有必要的，所以各种杀毒软件一直都提供，如果遇到这种情况，用户只需把该软件的目录添加到“监控排除”中即可，微软的杀毒软件MicrosoftDefender也是一样。
但是，凡事有利就有弊，这个功能也有可能会被某些病毒（恶意软件）所利用、钻空子，黑客不用绞尽脑汁地去思考如何给病毒加壳，如何对抗杀毒软件，只需要想办法直接把自己加入到杀毒软件的“监控排除”之内，即可彻底躲避查杀，万事无忧。
有些朋友可能会说，加入“监控排除”必须要用户本人点鼠标手动操作才能完成，病毒做不到吧？其实不是这样，这一切都可以用代码来实现完成，所以这种病毒（恶意软件）的思路就是想尽一切办法，把自己加入到MicrosoftDefender的“监控排除”中，打法就是这么简单、低级。
一旦成功得手之后，黑客就可以从排除的文件目录中存储、执行任意恶意软件，而不必担心被发现。在实测中，从该目录中执行的恶意软件可在Windows系统上不受任何阻碍地运行，畅通无阻，也不会触发MicrosoftDefender的警报。
【微软杀毒软件“监控排除”功能是怎样的？】
文章图片

文章图片

安全专家使用了一个Conti恶意软件样本进行测试，当它从普通文件目录（未加入“监控排除”）执行时， MicrosoftDefender立即启动并阻止了该恶意软件，表现得很出色。
然而，如果将Conti恶意软件放在排除的文件夹中再运行， MicrosoftDefender没有显示任何警告，也没有采取任何措施，恶意软件可以为所欲为。
据悉，该漏洞目前至少已经存在八年时间了，可影响Windows1021H1和Windows1021H2 ，但是Windows11不受影响，安全性更高。