Windows Defender Offline 概要
大家好!本次我们将详细解析 Windows Defender Offline 的技术细节。尽管这是一款用户可能不太熟悉且希望无需使用的软件,但在个人计算机感染恶意软件或协助亲友处理感染时,它能够提供有效帮助。建议提前了解并做好准备,以备不时之需。
Windows Defender Offline 是什么
Windows Defender Offline 是一款可从 CD/DVD/USB 等媒体启动的软件,能够扫描和清除恶意软件及 Rootkit。与 Microsoft Security Essentials (MSE) 或 Windows 8/Windows 8.1 内置的 Windows Defender 等常规反恶意软件工具(这些工具在 Windows 等操作系统上运行)不同,Windows Defender Offline 通过从媒体启动计算机,能够处理在 Windows 环境下无法检测到的 Rootkit 等问题。其引擎和定义文件与 MSE 等其他 Microsoft 反恶意软件工具相同。
Windows Defender Offline 的准备
注意: Windows Defender Offline 的下载和媒体创建必须在未感染恶意软件的计算机上执行。这是因为某些恶意软件可能导致媒体创建失败。
- 准备空白的 CD/DVD 媒体或未受密码保护且具有至少 250MB 可用空间的 USB 媒体。
- 启动 Windows,下载 32 位版本 (mssstool32.exe) 或 64 位版本 (mssstool64.exe) 的 Windows Defender Offline 安装程序。如果不确定应下载哪个版本,请参考支持文章 958406“如何确认计算机是 32 位还是 64 位版本”。
- 注意:媒体创建应基于待扫描计算机的架构,而非创建媒体的计算机。
- 运行下载的文件。按照向导操作,将显示以下屏幕。插入要使用的媒体后,选择相应媒体并单击[下一步 >]。
- 包含最新引擎和定义文件的文件将从互联网下载,并安装到可启动媒体中。显示完成屏幕后,单击[完成]按钮。
Windows Defender Offline 的启动与执行
- 使用创建的 Windows Defender Offline 媒体启动计算机(插入媒体后开机)。
- Windows 预安装环境 (Windows PE) 将启动,随后 Windows Defender Offline 启动。
- “快速扫描”将自动开始。要扫描所有文件,请单击[取消扫描]取消“快速扫描”,或在扫描结束后选择[完整]并单击[立即扫描]执行“完整扫描”。
Windows Defender Offline 的界面和操作与 MSE 或 Windows Defender 几乎相同,因此操作方法的详细说明在此省略。如有操作疑问,请参考“使用 Windows Defender”。
注意事项
- 创建的 Windows Defender Offline 媒体可用于运行不同版本 Windows 的计算机,但架构(32 位/64 位)必须匹配。
- 使用 USB 媒体创建 Windows Defender Offline 时,媒体将被格式化,因此请提前备份现有文件。
- 建议使用 USB 媒体,以便未来更新引擎和定义文件。
- 如果创建 Windows Defender Offline USB 媒体后已过一段时间,请通过以下任一方法更新引擎和定义文件后再执行扫描:
- 启动 Windows Defender Offline 后,执行[更新]。
- 启动 Windows Defender Offline 安装程序,插入已创建的 USB 媒体,选择[使用未受密码保护的 USB 闪存驱动器]并单击[下一步 >]。安装程序将自动识别已创建的媒体并执行更新。
- 如果设置了 BitLocker,请先暂停保护,然后重启并使用创建的媒体执行扫描。
- 如果媒体创建时出现错误或媒体无法正常启动,请参考“Windows Defender Offline: FAQ”获取信息。
最后
如果怀疑感染恶意软件,或在使用 Windows Defender 时发现无法清除的 Rootkit,请尝试使用此工具。
为了保护计算机免受日益进化的恶意软件威胁,并确保计算机更安全地使用,请务必执行以下三项措施:
- 安装正版反恶意软件工具,使用最新定义文件并启用实时保护。
- 安装安全更新程序,保持计算机处于最新状态。
- 避免访问可疑网站,不要打开可疑邮件或附件。