Archive for the ‘Offline’ Category

Vorsicht mit dem Start-MPWDOScan Cmdlet bzw. dem Offline überprüfen bei Windows 10

29 Mai 2016

Wer mit seinem Powershell auf aktuellen Windows 10 Versionen herumspielt, der könnte über das neue Cmdlet Start-MPWDOScan stolpern. Ein etwas kryptischer Name. Es gibt bereits eines mit dem Namen Start-MpScan, welches den Windows Defender aufruft und einen Scanlauf startet.

Aber für was steht nun WDO? Ganz einfach für Windows Defender Offline. Also kurz, damit kann man den Windows Defender im Offlinemodus starten. Dazu wird die aktuelle Windows Sitzung heruntergefahren und der Rechner bootet den Windows Defender Offline Scanner. Der führt seinen Scanlauf durch und bootet anschließend wieder das vorhergehend aktive Windows.

Seit der Verison v1511 von Windows 10 gab es nur das Cmdlet aber bei den aktuellen Preview-Versionen, gibt es nun bei den Windows Einstellungen bei “Update und Sicherheit” unter “Windows Defender” die Option “Windows Defender Offline” wo man den Button “Offline überprüfen” anklicken kann.

Soweit so gut und sicher eine prima Sache.

Wenn da nicht wie immer die berühmten Nebenwirkungen wären. Zunächst macht es Sinn, bevor man Start-MPWDOScan aufruft mittels Update-MpSignature die aktuellen Virendefinitionen zu laden, denn der Offline-Scanner legt einfach los und kann kein Update durchführen!

Nach dem Aufruf von Start-MPWDOScan oder anklicken von “Offline prüfen” passiert zunächst einmal nichts. Erst nach ca. einer Minute erscheint auf einmal ein Hinweisfenster, dass nun alle Anwendungen geschlossen werden. Wenn man dies nicht weiß, ist dies ziemlich verwunderlich, weil man einen Befehl absetzt und keine Reaktion bekommt und dann unvermittelt doch. Man kann zwar das Hinweisfenster schließen aber ein Abbruch des Vorgangs ist nicht direkt möglich! Nicht gespeicherte Daten gehen unweigerlich verloren! Wer schnell ist, kann allerdings per Win+R oder per Eingabeaufforderung ein “Shutdown /a” absenden, damit wird der Vorgang zunächst abgebrochen.

Wer nach einem Abbruch mittels “Shutdown /a” später dann versucht den Vorgang kontrolliert nochmal neu zu starten, der kann nach Eingabe von Start-MpWDOScan lange warten, denn es passiert einfach nichts mehr. Erst ein Neustart des Rechners mittels “Restart-Computer” bzw. normalem Neustart führt zur Offline-Prüfung, d. h. nach dem Abbruch macht der Rechner zunächst auf beleidigt.

Nächstes Problem ist die Art des Scanlaufs. Normalerweise kann man mittels “Set-MpPreference –ScanParameters FullScan” festlegen, dass man einen vollständigen Scanlauf machen möchte. Der eingebaute Windows Defender Offline ignoriert diese Einstellung und führt immer nur eine Schnellprüfung durch.

Wenn der Scanlauf beendet ist, stellt sich die Frage, wie man weiß, dass nichts gefunden wurde. Man könnte die Windows Ereignisanzeige mittels

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational"|select -First 10

bemühen aber dort stehen eher wenig Infos drin. Es wird lediglich vermerkt, wann ein Offlinescan von der Anwendung “%1” initiiert wurde. Dies wird angezeigt durch die Nachricht “%1 hat Windows Defender Offline heruntergeladen und konfiguriert und führt es beim nächsten Neustart aus.”, ID 2030. Danach gibt es noch die Meldung “In der Konfiguration von Windows Defender wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde…”, ID 5007. Dabei wird noch ein Registrierungskey genannt: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun, der von 0x1 auf 0x0 gesetzt wurde. Wenn es stimmt.

Da wohl niemand am Bildschirm kleben bleibt, wenn der Scan läuft, der fragt sich, wie kann man feststellen, ob der Scan ohne Probleme verlief? Dazu findet man im Verzeichnis C:\Windows\Microsoft Antimalware\Support entsprechende Log-Dateien. Die Kurzfassung steht in MSSSWrapper.LOG. Der Name MSSS steht für Microsoft Standalone System Sweeper, dem früheren Namen des Windows Defender Offline.

Es gibt auch noch Dateien mit Namen MPDetection-Datum-Uhrzeit.LOG und MPLog-Datum-Uhrzeit.LOG, dort stehen auch noch Infos.

In beiden Dateien, MSSSWrapper.LOG und MPDetection*.LOG werden Virenfunde verzeichnet, indem auf “Number of threats from scan: x”, “Found Virus:” und “DETECTION Virs:” darauf hingewiesen wird.

Wer selber die Reaktion des Windows Defender Offline testen möchte, der schaltet einfach mittels “Set-MpPreference –DisableRealtimeScanning $true” den Realtimescan-Modus ab. Danach kann man Problemlos mittels “New-Eicar –Path C:\Windows” ein Test-Virus pflanzen, der dann vom anschließenden Offline Scanlauf erkannt werden sollte. New-Eicar bekommt man hier: https://github.com/obscuresec/PowerShell/blob/master/New-Eicar.

Bleibt noch am Ende die Frage, wie sicher die Offline Methode ist. Denn wenn ein System bereits infiziert ist, könnte eine Malware auch nach dem Start des Offline-Scanners aktiv sein. Leider gibt es keine verwertbaren Infos wie dieser Vorgang vonstatten geht, so dass man hier nur spekulieren kann. Scheinbar wird ein WinPE hochgefahren, aber es wird dabei scheinbar auf Dateien aus dem bestehenden System zurückgegriffen…

Wobei es aber auch klappen könnte, wenn man Confirm-SecureUEFIBoot mit $true bestätigt bekommt, dann könnte theoretisch geprüft werden, ob das System sauber ist. Aber ob das stattfindet?

Werbeanzeigen

Microsoft .Net Framework 3.5 unter Windows 8 offline nachinstallieren

23 August 2013

Zum Glück sind die nötigen Dateien auf der Windows 8 DVD enthalten, somit geht es schnell:

Dism.exe /online /enable-feature /featurename:NetFX3 /All /Source:D:\sources\sxs /LimitAccess

Im obigen Beispiel ist das DVD-Laufwerk unter D: zu finden.

Wers bebildert braucht, wird hier fündig: http://support.microsoft.com/kb/2785188

Videos aus Youtube im H.264 oder im WebM Format downloaden zur Offlineverwendung

31 Oktober 2011

Wer hat das nicht schon Mal gebraucht. Ein Video von Youtube downloaden und offline speichern. Nicht jeder ist mit einer fetten Bandbreite belohnt und da macht es oft Sinn ein Video herunterzuladen. Mal abgesehen von rechtlichen Aspekten ist es quasi mit Bordmitteln möglich.

Benötigt wird Chrome Browser, hier beim Test war es Version 15. Mit diesem fährt man die Seite

http://youtube.de/html5

an. Dort klickt man unten den kleinen Link Am HTML5-Test teilnehmen an, falls nicht bereits aktiviert.

Nun klickt man sein Lieblingsvideo an, z. B.: http://www.youtube.com/watch?v=9BrLrwbkQWQ

Während das Video abgespielt wird, klickt man mit der rechten Maustaste auf das Video. Es wird ein Kontextmenü mit diesen Punkten dargestellt:

  • Video-URL an dieser Stelle kopieren
    Bingebetteten HTML-Code kopieren
    Problem bei der Wiedergabe melden
    Debug-lnformationen kopieren
    Download beenden
    Geschwindigkeitstest durchführen
    Über HTML5

Hier klickt man auf Debug-Informationen kopieren. Nun öffnet man Notepad und fügt dort die Zwischenablage ein. Es werden ein paar Json Variablen dargestellt. Davon wird der Link der mittels http:// beginnt benötigt. Im obigen Beispiel wars:

http://o-o.preferred.twtelecom-dfw1.v15.lscache1.c.youtube.com/videoplayback?sparams=id%2Cexpire%2Cip%2Cipbits%2Citag%2Csource%2Cratebypass%2Ccp&fexp=904522%2C905241&itag=43&ip=64.0.0.0&signature=5DEEAD1814E0ACE
109CB9B5814546EB92DD6B4C4.1D3180E38CAC67AFED264828
482EA07D2865037E&sver=3&ratebypass=yes&source=youtube
&expire=1320105600&key=yt1&ipbits=8&cp=U0hRRVFLU19FSkN
OMV9JRVdHOlRLNmJ4MHQ4NGk2&id=f41acbaf06e44164

Wenn man diesen Link nun kopiert und in einem separaten Chrome Tab einfügt, so wird nur das Video dargestellt. Obiger Link funktioniert wahrscheinlich nicht, da nur temporär verfügbar. Deshalb nach obiger Methode seinen eigenen Link erzeugen!

Spielt nun der Browser den direkten Link ab, kann man mittels rechter Maustaste auf das Video klicken und dort gibt es nun den Punkt “Video speichern unter”. Darüber lässt sich das Video problemlos lokal speichern.

Schön aber was soll ich mit Googles Video Format anfangen? Ich will H.264! Auch dies ist möglich. Man benötigt nur z. B. den Internet Explorer 9, denn dieser unterstützt noch nicht das Google-WebM-Videoformat. Wenn man sich also das ursprüngliche Video mittels IE9 darstellen lässt, wird einem dies in der Regel mittels H.264 präsentiert. Nun kopiert man sich davon die Debuginformationen und fügt den gewonnen Link dann wieder in ein neues Tab ein und los geht die Show.

Powershell und Zugriff auf Offlinedateien (CSC – Client Side Cache)

7 August 2010

Hier wird auf das Thema eingegangen: http://blogs.technet.com/b/heyscriptingguy/archive/2009/06/02/how-can-i-work-with-the-offline-files-feature-in-windows.aspx.

Das fertige Script findet man hier: http://gallery.technet.microsoft.com/ScriptCenter/de-de/46ad84f9-c9de-466d-84ee-7734b7f1d584

Die passenden Infos um tiefergehendes zu erreichen gibt es hier: http://gallery.technet.microsoft.com/ScriptCenter/de-de/46ad84f9-c9de-466d-84ee-7734b7f1d584

Um die Dateien Online bzw. Offline zu schalten gibt es dieses Script:
http://gallery.technet.microsoft.com/ScriptCenter/de-DE/9dba7844-4946-46c6-9cce-5897d503e293?persist=True

Mit passender Beschreibung: 
http://blogs.technet.com/b/heyscriptingguy/archive/2009/06/03/how-can-i-enable-and-disable-offline-files.aspx

Zwar nicht Powershell aber doch hilfreich: http://blogs.technet.com/search/SearchResults.aspx?q=csc%20vbs&sections=4785