Microsoft Security Essentials ( MSE ), command line yönetimi ile işlevleri gerçekleştirebiliyoruz,isterseniz kendinize göre oluşturup script gibi de kullanabilirsiniz.

Windows Defender’de aynı komutlar çalışmaktadır.
Test Ortamında EICAR test stringi kullanılmıştır. Test stringi için tıklayınız.

MSE Command Line Yönetimi

MpCmdRun.exe [command] [-options]

Command line kullanımında MpCmdRun.exe dosyasını kullanıyoruz. Çeşitli parametreler ekleyerek tarama özelliklerini artırabiliyoruz.

Temel Parametreler

1. -Scan
2. -Trace
3. -GetFiles
4. -RemoveDefinitions
5. -SignatureUpdate
6. -Restore

1) Scan

Dosya/Klasörleri taramak için kullanılan ön parametredir. Tarama parametreleri -Scan sonrasına eklenerek işlevsellik katılabilir.

Kullanım örneği: MpCmdRun.exe -Scan -ScanType X -File C:/klasor-dosya-yolu  -disableremediation

-ScanType

X olarak verilen değer yerine yapılacak olan tarama işlevine ait 0-3 sayı değerinin girilmesi gerekiyor.

• 0 – Varsayılan,
  Daha önce ouşturduğunuz yapılandırmaya göre tarama yapar.
  ( Win 8 OS üzerinde yapılandırmalar GUI üzerinden değiştirilemez, bu nedenle hızlı tarama işlevini uygular. )
• 1 – Hızlı Tarama,
  Tarama işlemini düşük kaynak ve zaman harcayarak sadece bilinen tüm tehditlere karşı tarar ( kritik windows dosyaları ve kayıt defterini/regedit. )
• 2 – Tam Tarama,
  Tüm disklerde tarama yapar. Zip/Rar gibi sıkıştırılmış klasörler taranmaya tabi tutulmadığından ve Gerçek Zamanlı Koruma etkin olduğu için Tam Tarama yaparak vakit harcamak yerine Hızlı Taramayı yapabilirsiniz. Microsoft kaynaklarında ayda 1/2 kez Tam Tarama yapılmasının yeterli olduğu belirtiliyor.
• 3 – Özel Tarama,
  Sadece belirttiğiniz klasör/dosya üzerinde tarama işlevi uygular.

-File

Sayı değeri 3 olan Özel Tarama işlevi için tarama yapılacak klasör/dosya yolunun belirtilmesi gerekiyor. ( Sadece Scantype 3 özel tarama ile uygulanabilir. )

-DisableRemediation

Varsayılan olarak virüs içeren dosyalar karantina altına alınarak temizlenir. Aktif olan bu değere remediation denir. Eğer tarama işleminde karşılaşılacak zararlı yazılımlara müdahale edilmemesini istiyorsanız remediation değerini –disableremediation parametresi ile kapatabilirsiniz. Bu parametre genellikle zararlı yazılımın adını veya hangi klasör/dosyada yer aldığının öğrenilmesi için kullanılır. ( Sadece Scantype 3 özel tarama ile uygulanabilir. )

Özellikle beraber aşağıda ki işlemler gerçekleşir;

• Dosya istisnaları göz ardı edilir.
• Arşiv dosyaları taranır.
• Tarama sonrasında herhangi bir aksiyon uygulanmaz.
• Olay günlüğü (Event Log) yazılmaz.
• Özel Tarama GUI ile görüntülenmez.
• Özel Tarama çıktısını komut satırına yansıtır.

---

***Örnek tarama komutları;

Tam tarama işlevi için,

mpcmdrun.exe -scan -scantype 2

Özel tarama işlevi için,

Konum olarak C:\Program Files ‘ın taranmasını sağlayalım.

mpcmdrun.exe -scan -scantype 3 -file C:\Program Files

Herhangi bir iyileştirme aksiyonu olmadan Özel tarama işlevi için,

mpcmdrun.exe -scan -scantype 3 -file C:\Program Files -DisableRemediation

---

-BootSectorScan

Boot sektör taramasını etkinleştirir. Tarama süresini uzatabilir. ( Sadece Scantype 3 özel tarama ile uygulanabilir. )

-Timeout

Zaman aşımı tamamlayarak uzun süren taramaları sistemi yeterince yormadan durdurur. Varsayılan olarak zaman aşımı süresi 7 gündür. Maksimum 30 güne kadar süre verebilirsiniz. Verilen süre sonundan sonra aşağıda ki gibi aksiyon kodları geri döner.

Timeout Geri Bildirim

0 – Hiçbir kötü amaçlı yazılım bulunamadı veya kötü amaçlı yazılım başarılı bir şekilde temizlendi. Ek bir kullanıcı işlemi gerektirmez.
2 – Kötü amaçlı yazılım bulundu ama temizlenemedi. Ek bir kullanıcı tarafından işlem gerekebilir.  Daha fazla bilgi için geçmişi ve logları kontrol edin.

2) Trace

Microsoft Security Essentials eylemlerinin takibini yapar. Hangi işlemlerin takibinin yapılacağını belirterek özelleştirilmiş takip sağlayabilirsiniz. Hiçbir bileşen belirtilmediyse tüm bileşenlerin takibi yapılır ve günlüğe kaydedilir. Seviye belirtilmediyse tüm uyarı ve bilgi düzeyleri loglanır. Veri adı ile beraber zaman damgalı olarak .bin dosyası ile saklanır. Genellikle raporlama ve oluşabilen eylem sorunlarının çözümü için kullanılır.

Kayıt dizini C:\ProgramData\Microsoft\Microsoft Security Client (or Windows Defender)\Support

-Grouping

0x1 Servis işlemleri işlev takibi
0x2 Zararlı içerik koruma motoru işlev takibi
0x4 Kullanıcı arayüz işlemleri
0x8 Gerçek zamanlı tarama işlev takibi
0x10 Takvim aksiyonları
0x20 NIS / GAPA raporları

-Level

0x1 Hatalar
0x2 Uyarılar
0x4 Bilgilendirme mesajları
0x8 Fonksiyon uygulama
0x10 Verbose
0x20 Performans

---

***Örnek tarama seneryoları;

MSE servislerinin uyarılarını almamız gerekiyor.

mpcmdrun.exe -trace -grouping 0x1 -level 0x2

MSE gerçek zamanlı tarama işleminde performans durumlarını almamız gerekiyor.

mpcmdrun.exe -trace -grouping 0x8 -level 0x20

MSE gerçek zamanlı tarama işleminde oluşan hataları almamız gerekiyor.

mpcmdrun.exe -trace -grouping 0x8 -level 0x1

---

3) GetFiles [ -Scan ]

MpCmdRun loglarını ve birçok sistem bilgisine ulaşabilirsiniz. Aşağıda yer alan bilgileri  .cab arşivi olarak /support/MPSupportFiles.cab dosyasında bir araya toplar.

• MSE Antimalware servislerini izleyebilme ( MPRegistry.txt ),
• Windows Update geçmiş logları ( MPRegistry.txt ),
• Sistem bilgileri ( MPRegistry.txt ),
• MSE servis loglarını olay günlüğüne ekler ( Event ” Viewer ” log dosyası),
• MSE güncelleme geçmiş logları ( MpSigStub.log ),
• MSE Antimalware ait kayıt defteri girdi bilgileri ( MPRegistry.txt )
• MSE bulunan zararlı yazılım ve lokasyonları ( MPDetection-XXX-tarih.log )

***Örnek log işlemleri;

Sistem ve MSE loglarını oluşturalım.

mpcmdrun.exe -getfiles -scan

4) RemoveDefinitions

İmza tanımlarını yönetmek için kullanabileceğiniz bu parametre ile,

Servis versiyon,
MSE çekirdek ( engine ) versiyon,
AntiSypware imza versiyon,
Antivirüs imza versiyon,
NIS çekirdek ( engine ) versiyon,
NIS imza versiyon,

bilgilerine ulaşabilirsiniz.

-All

Tanımlanan imza ve çekirdek dosyaları kaldırır.

Not: MSE Update sorunu yaşadığınızda bu adımı uygulayıp tekrar deneyebilirsiniz.

-DynamicSignatures

Dinamik imzaları kaldırır.

Dynamic Signatures: Raporlanarak elde edilen imzalardır. Daha önceden bilinmeyen tehditlere yönelik tanımları oluşturulabilir ve yeni yayılmaya başlayan bir tehdite karşı sistemin korunmasını sağlar.

2 farklı MAPS ( Microsoft Active Protection Service ) üyeliği bulunuyor,

Temel üyelik; MAPS üyelerinin raporladığı henüz risk analizi yapılmayan potansiyel tehditlerin imzalarını göndererek/edinerek oluşabilecek tehditlere karşı koruma sağlar/katkıda bulunur.

Gelişmiş üyelik;  Ek olarak tehdit içeriğini detaylıca raporlanarak ( dosya yolu, yazılım detaylı bilgisi ) iletir. Aynı zamanda size ait, UserAgent, IP adresi, İşletim Sistemi gibi bilgilerinizi MAPS ağına iletir ( Sadece ilgili risk analizi ekibine gönderilir. )

MAPS hakkında detaylı bilgi için http://en.wikipedia.org/wiki/Microsoft_Active_Protection_Service tıklayınız.

***Örnek GetFiles işlemleri;

Tüm imzaları kaldıralım ( Bu işlemde MSE uyarı vererek kırmızı rengi alıyor. ).

mpcmdrun.exe -RemoveDefinitions -All

Sadece dinamik imzaları kaldıralım.

mpcmdrun.exe -RemoveDefinitions -DynamicSignatures

5) SignatureUpdate

Yeni tanımlanan imza güncellemelerini kontrol eder ve MSE’a ekler.

-UNC [-Path <path>]

Belirttiğiniz dizin üzerinden imza güncellemeleri yapabilirsiniz. UNC ( Uniform Naming Convention ) dosya yolu yoksa önceden yapılandırılan UNC dosya yolundan güncelleme yapar.

-MMPC

Microsoft Malware Protection Center üzerinden doğrudan güncelleme yapar.

***Örnek imza güncelleme işlemi;

mpcmdrun.exe -SignatureUpdate

6) Restore

Karantine altında yer alan tehditler ile ilgili yönetimsel işlemler için kullanılan parametredir.

-ListAll

Karantinada yer alan zararlı yazılımları listeler.

-All

Karantinada olan tüm zararlı yazılımları eski lokasyonlarına restore eder.

-Path

Karantinada yer alan zararlı yazılımları restore edilecek yolu belirterek istediğiniz yere restore edebilirsiniz. Eğer -path parametresi eklenmezse orjinal yoluna restore ediliyor.

-Name <name>

Tehdit adına göre en son karantinaya alınan zararlı yazılımı geri yükler.

Birden fazla dosya ile eşleşirse hepsini restore eder.

Aşağıda yer alan resimde threat ifadesine karşı gelen ( Virus:DOS/EICAR_Test_File ) zararlı yazılımın adıdır.

***Örnek restore işlemleri;

Karantinada yer alan tüm zararları yazılım listesini çıkarma.

mpcmdrun.exe -Restore -ListAll

Karantinada yer alan zararları yazılımın adına göre restore işlemi yapar.

mpcmdrun.exe -Restore -Name Virus:DOS/EICAR_Test_File

Karantinada yer alan tüm zararları yazılımları restore eder.

mpcmdrun.exe -Restore -Name Virus:DOS/EICAR_Test_File