web-dev-qa-db-ja.com

Windows Defenderの検証済み署名がないことはマルウェアを示していますか?

私はWindows 10マシンでWindows Sysinternalsから「自動実行」を実行しましたが、Windows Defenderサービスが赤色でマークされており、署名が検証されていないことに気付きました。別のマシンでこれらのサービスを確認したところ、すべて期待どおりに検証されていることがわかりました。

これは私のマシンのWindows Defenderがマルウェアであることを意味しますか?その場合、それを削除してクリーンなWindows Defenderを再インストールするにはどうすればよいですか?完全なオフラインスキャンを実行しても効果はありませんでした。

screenshot

2
Big Tuna

いいえ、正規のアプリケーションがautoruns.exeで「検証されていません」と表示されるのは正常です。私の経験では、これは正常な動作であり、デジタル署名されていないように見える他の正当なアプリケーションを見たことがあります。私があなただったら、自動実行が何を教えてくれるのかあまり気にしません。

このため、マルウェアの分析では、静的分析または動的分析のいずれかのさまざまなツールが使用されます。判定に達するには、アプリケーションの特性と動作のより詳細な「検査」が必要です。

ここに私のマシンのスクリーンショットを示します。安心してください。 enter image description here

あなたが[〜#〜] [〜#〜]できることは、ある種の「保存された状態」を作成することですシステムを後で比較し、マルウェアがどのようにしてpersistenceを獲得したかを検出します。マルウェアの持続性を排除すれば、マルウェアは「理論的に」排除されたことを覚えておいてください。

  1. 「クリーン」なシステムでautoruns.exeを実行し、終了させます。 (システムがすでにマルウェアに感染している疑いがある場合、このプロセスは役に立ちません)。
  2. File->Saveをクリックして、.arnファイル。
  3. マルウェアに感染している疑いがある場合は、autoruns.exeを再度実行し、終了したらFileに移動します->比較し、。arnファイルをステップからロードします2.不正である可能性のあるレジストリエントリに気づいた場合一定正規のものではないため、安全に削除できます。

ただし、これは、自動起動レジストリエントリを常に表示できることを意味するものではありません(たとえば、RunOnceKeyによる永続化、ルートキットドライバーの感染などを参照)。それにもかかわらず、それは時々役立つかもしれません。

4
Soutzikevich

いいえ、Defenderはデジタル署名されています。エクスプローラでプロパティを開いて画像を確認し、手動で確認できます。私はそれがバグであることを発見しました、しかし Microsoftはまだそれを修正していません

3
Dailamah