我为了研究目的检查了不同的键盘记录器,并偶然发现了Refog:
https://www.refog.com/keylogger/
这个程序可以捕获许多系统事件,但引起我的注意的是其他事情。该程序创建了一个名为Mpk的隐藏文件夹,路径为C:\Windows\SysWOW64\Mpk。它被标记为操作系统文件夹,因为它在未取消选中“隐藏受保护的操作系统文件(推荐)”之前是不可见的。我猜,可以通过attrib命令像这样attrib +s +h "C:\Windows\SysWOW64\Mpk"
来完成这个操作,所以并没有什么特别的。
然而,他们还为这个文件夹添加了Windows Defender的排除设置。他们如何在程序上实现这一点呢?我正在运行Windows 10 Pro x64。
powershell -inputformat none -outputformat none -NonInteractive -Command "Add-MpPreference -ExclusionPath 'C:\Program Files (x86)\sysconfig'"
。 - Ogglas-ExclusionPath 'path1','path2'
。 - balrobpowershell -inputformat none -outputformat text -NonInteractive -Command Get-MpPreference
。 - balrob