| 適用於 | 類型 |
|---|---|
| 平台 | Windows |
| 保護類型 | 硬體 |
| 韌體/Rootkit | 作業系統 驅動程式 記憶體 (堆) 應用程式 身分識別 雲端 |
注意事項
此功能的保護重點在於韌體/Rootkit。
Microsoft Defender Offline 是一款反惡意軟體掃描工具,讓你能從受信任的環境中啟動並執行掃描。 掃描從一般 Windows 核心外部執行,因此能針對試圖繞過 Windows 殼層的惡意軟體,例如感染或覆蓋主開機紀錄 (MBR) 的 rootkit。
如果你懷疑有惡意軟體感染,或想在惡意軟體爆發後確認端點的徹底清理,可以使用 Microsoft Defender Offline Scan。
先決條件與要求
以下是 Windows 中 Microsoft Defender 離線掃描的硬體需求:
- x64 Windows 11
- x64/x86 的 Windows 10
- x64/x86 Windows 8.1
- x64/x86 Windows 7 服務包 1
注意
Microsoft Defender 離線掃描不適用於:
- ARM Windows 11
- ARM Windows 10
- Windows Server SKU的) 庫存單位 (
欲了解更多關於 Windows 10 及 Windows 11 需求的資訊,請參閱以下文章:
重要事項
如果系統磁碟機啟用了 BitLocker,請先暫停 BitLocker 保護,再執行 Microsoft Defender Offline。 否則,當系統重新啟動進入離線環境時,可能會被要求輸入 BitLocker 的恢復金鑰。 有關說明,請參見 暫停 BitLocker 保護。
Microsoft Defender 離線更新
要接收 Microsoft Defender 離線掃描更新:
Microsoft Defender防毒軟體必須是你主要的防毒軟體 (不能被動模式) 。
更新 Microsoft Defender 防毒軟體,請依照您平常部署到端點的更新方式。 使用支援的版本:
安全情報匯報
- 你可以手動從 Microsoft 惡意程式碼防護中心下載並安裝最新的防護更新
- 更多資訊請參閱《管理 Microsoft Defender 防毒安全情報更新》文章。
使用者必須以本地管理員權限登入。
Windows 復原環境 (WinRE) 需要啟用。
注意事項
如果 WinRE 被停用,Windows Defender 離線掃描不會執行,也不會顯示錯誤訊息。 即使手動重新啟動機器也不會有任何反應。 要解決這個問題,你只需要啟用 WinRE。
- 要檢查 WinRE 狀態,你可以執行這個命令行:
reagentc /info。 - 如果狀態是停用,你可以透過執行此命令列來啟用它:
reagentc /enable。
使用情況
執行 Microsoft Defender 離線掃描的需求:
如果 Microsoft Defender 防毒軟體判斷您需要離線執行 Microsoft Defender,會提示使用者在裝置上執行。 提示可以透過通知方式出現,類似以下方式:
使用者也會在 Microsoft Defender 防毒軟體中收到通知。 如果你用 Intune 管理裝置,可以在 Intune 看到通知。
- 你可以手動強制離線掃描,這是內建在 Windows 10、版本 1607 或更新版本,以及 Windows 11 裡的。 或者,你也可以像 這裡描述的那樣,掃描可開機的舊 Windows 作業系統。
在 Configuration Manager 中,您可以透過瀏覽至 Monitoring > Overview >> Security Endpoint Protection Status > System Center Endpoint Protection Status,來識別端點的狀態。
Microsoft Defender 離線掃描會在惡意軟體修復狀態下標示為需要離線掃描。
設定通知
Microsoft Defender 離線通知的設定與其他 Microsoft Defender 防毒通知相同。
欲了解更多關於 Windows Defender 通知的資訊,請參閱 「設定端點上出現的通知」。
掃描一下
重要事項
在使用 Microsoft Defender 離線掃描前,務必保存所有檔案並關閉正在執行的程式。 Microsoft Defender 離線掃描大約需要 15 分鐘完成。 掃描完成後,它會重新啟動端點。 掃描是在一般 Windows 作業系統之外進行的。 使用者介面的外觀會與 Windows Defender 的正常掃描不同。 掃描完成後,端點會重新啟動,Windows 也會正常載入。
您可以使用以下方法執行 Microsoft Defender 離線掃描:
- Windows 安全性應用程式
- PowerShell
- Windows Management Instrumentation (WMI)
使用 Windows Defender Security 應用程式執行離線掃描
從 Windows 10(版本 1607 或更新版本)及 Windows 11 起,Microsoft Defender 離線掃描可直接從 Windows 安全性應用程式一鍵執行。 在先前的 Windows 版本中,使用者必須安裝 Microsoft Defender Offline Scan 來啟動可啟動媒體,重新啟動端點,然後載入可啟動媒體。
注意事項
在Windows 10版本 1607 中,離線掃描可從 Windows 設定>更新 & 安全 > Windows Defender 或 Windows Defender 用戶端執行。
在你的 Windows 裝置上,開啟 Windows 安全性應用程式。 選擇 病毒 & 威脅防護,然後選擇 掃描選項。
選擇單選按鈕 Microsoft Defender 離線掃描,然後選擇立即掃描。
過程從
C:\ProgramData\Microsoft\Windows Defender\Offline Scanner開始。你會看到一個儲存作品的提示,類似以下圖片:
儲存作品後,選擇 掃描。
選擇 掃描後,會跳出另一個提示,請求你允許更改裝置,類似以下圖片:
選取 [是]。
另一個提示會顯示你將登出,Windows將在不到一分鐘內關機,類似以下圖片:
你可以看到Microsoft Defender防毒軟體掃描 (離線掃描) 正在進行中。
你會看到以下圖片:
使用 PowerShell cmdlets 執行離線掃描
請使用以下指令集:
Start-MpWDOScan
請參閱使用 PowerShell 指令碼來配置並執行 Microsoft Defender 防毒軟體及 Defender 防毒軟體指令匣,了解更多如何搭配 Microsoft Defender 防毒軟體使用。
使用 Windows 管理指令 (WMI) 執行離線掃描
用 MSFT_MpWDOScan 類別來執行離線掃描。
以下 WMI 腳本摘要會立即執行 Microsoft Defender 離線掃描,這會使終端重啟、執行離線掃描,然後重新啟動並啟動 Windows。
wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start
欲了解更多資訊,請參閱 Windows Defender WMIv2 API。
在 Windows 7 服務包 1 與 Windows 8.1 中:
下載 Windows Defender 離線版,並透過以下連結安裝到 CD、DVD 或 USB 隨身碟:
如果你不確定要下載哪個版本,請參考「我的電腦是跑 32 位元還是 64 位元版本的 Windows?」。
開始時,找一張至少有 250 MB 空間的空白 CD、DVD 或 USB 隨身碟,然後執行這個工具。 你會被引導完成製作可拆卸媒體的步驟。
提示
我們建議您在下載 Windows Defender 離線版時採取以下步驟:
- 下載 Windows Defender 離線版,並在未感染惡意軟體的電腦上建立 CD、DVD 或 USB 隨身碟,因為惡意軟體可能會干擾媒體製作。
- 如果你用 USB 隨身碟,隨身碟會被重新格式化,裡面的資料也會被刪除。 務必先備份硬碟中的重要資料。
掃描你的電腦是否有病毒和其他惡意軟體。
當你建立好 USB 隨身碟、CD 或 DVD 後,從你目前的電腦中移除它,然後帶到你想掃描的電腦。 將 USB 隨身碟或光碟插入另一台電腦,重新啟動電腦。
從 USB 隨身碟、光碟或 DVD 開機來執行掃描。 根據電腦設定,重啟後可能會自動從媒體開機,或者你可能需要按鍵進入「開機裝置」選單,或在電腦的 UEFI 韌體或 BIOS 中修改開機順序。
啟動裝置後,你會看到一個 Microsoft Defender 工具,會自動掃描你的電腦並移除惡意軟體。
掃描完成並完成工具使用後,你可以重新啟動電腦並移除 Microsoft Defender Offline 媒體,重新開機進入 Windows。
移除電腦中發現的任何惡意軟體。
如果你在執行離線掃描時藍屏出現停止錯誤,請重新啟動裝置並嘗試再次執行 Microsoft Defender 離線掃描。 如果藍屏錯誤再次發生,請聯絡 Microsoft 支援服務。
我在哪裡可以找到掃描結果?
要查看 Windows 10 和 Windows 11 的 Microsoft Defender 離線掃描結果:
選擇開始,然後選擇設定>更新 & 安全>Windows 安全性>病毒 & 威脅防護。
在 病毒 & 威脅防護 畫面,在 「目前威脅」中,選擇掃描 選項,然後選擇 保護歷史。 欲了解更多資訊,請參閱 Windows 安全性應用程式中的「檢視威脅偵測歷史」。
我要怎麼知道 Microsoft Defender 離線掃描是否被啟動了?
在事件檢視器中,請前往應用程式與服務日誌 > Microsoft > Windows > Windows Defender > 運作中。 你會看到:
- 日誌名稱:Microsoft-Windows-Windows Defender/Operational
- 資料來源:Microsoft-Windows-Windows Defender
- 事件編號:2030
- 等級:資訊
- 說明:Microsoft Defender已下載並設定Microsoft Defender防毒軟體 (離線掃描) 下一次重開機時會運行。
在 2004 年 Windows 10 之前的舊版本中,你會看到:
Windows Defender 防毒軟體下載並設定了 Windows Defender 離線,讓它在下一次重啟時能執行。
- 日誌名稱:
Microsoft-Windows-Windows Defender/Operational - 資料來源:
Microsoft-Windows-Windows Defender - 活動編號:
5007 - 等級:
Information - 說明:
Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware. - 舊價值:
N/A\Scan\OfflineScanRun = - 新價值:
HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0
相關文章
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱: