설치 / 사용기

윈 도 우 Defender 보호 기록 제거 스크립트

2024.04.18 21:24

와로 조회:1127 추천:42

Defender의 보안 영역 그물망에서는 벗어나 있지만 순수한 공유 목적으로 컴파일된 

오픈 소스와 프리웨어를 자주 사용하는 사용자들의 환경과 조건을 염두에 두고 쓴 사용기입니다.

 

한달전인가? 질답 게시판에 올라와 첨부한적 있었는데 

며칠전부터 아예 스크립트가 먹히지 않더군요. 

이번에 윈도우 정기 업데이트되면서 Defender 보안 관련 항목이 좀더 빡세게 변경된거같네요

디펜더를 제거하는것도 아니고,사용자들 선택 사항은 안중에도 없는건지...

  

검색해보니 안전 모드로 부팅해서 제거하던지 

이 툴로는 가능한거 같습니다  DefenderUI

Defender Control로 사용 중지후에 바로 제거해도됩니다.

 

그런데 이 세가지 방법은 번거로움과 외부툴 설치하고 해당 메뉴를 찾아 실행해야 하는 복잡함이 있어

심플한 다른 방법 알아 보다가 가장 효율적으로 보호 기록을 제거할수 있는 스크립트를 찾았습니다  

 

https://github.com/LesFerch/ClearDefenderHistory

 

본문에 있는 내용입니다

참고 : 이 스크립트의 이전 버전에서는 다시 시작하지 않고도 기록을 지울 수 있었습니다. 

2024년 봄에 Defender 보안이 변경되면서 이전 방법은 더 이상 먹히지 않습니다. 

더 나은 방법을 찾을 때 까지는 컴퓨터를 재시작해야 합니다.

 

즉,이전 버전에선 재부팅안해도 즉시 제거가 되었는데

앞으론 실행후 재부팅해야 완료가 된다는거죠

 

예전부터 나왔던 방법인데 보호 기록 초기화하는건 무지 간단합니다

C:\ProgramData\Microsoft\Windows Defender\Scans\History

이 경로에 있는 Service폴더나 안에 있는 파일들만 삭제하면됩니다

근데,지금은 관리자 권한이 있건 없건 TrustedInstaller 권한을 부여해도,NSudo,PowerRun에 붙여서 실행해도

액세스 거부 뜨면서 삭제가 안됩니다.

삭제거부.png

PE에선 아무런 제한 없이 삭제가 가능하지만 일반적인 선택 조건이 아니라 넘어갑니다. 

 

이 스크립트는 꼼수(?)로 저런걸 무시하고 삭제하는 방식입니다  

스크립트를 열어보면 이런 담백한 파워쉘 코드로 짜여져 있는데요

 

$folder = 'C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service'

$file = "$folder\Detections.log"

 

if (Test-Path $file) {

    $keyPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"

    $valueName = "DWDH"

    $valueData = "cmd /c rd /s /q ""$folder"""

 

다들 아시겠지만,풀어서 설명하자면 

레지스트리의 RunOnce경로에 임시로 "DWDH"라는 레지값을 추가한후

디펜더의 Service폴더를 삭제하는 명령어를 넣는겁니다

RunOnce에 추가후 재부팅하면 묻지도 따지지도 않고 깔끔하게 보호 기록이 제거됩니다

RunOnce.png

Service폴더는 재부팅하거나 기록이 발생하면 다시 생성됩니다 (일반 빈 폴더 보존시엔 md추가해야 함)

RunOnce는 말그대로 1회성이라 재부팅이후엔 레지,데이터 값이 레지스트리에서 사라지고 초기화됩니다.

참고로,RunOnce 위에 있는 Run은 부팅하면서 상시적으로 자동 실행되는 프로그램들이 등록되는 경로입니다.

스크립트 실행후 "y"를 입력해 즉시 재부팅하거나 엔터쳐서 볼일 본후 나중에 재부팅하세요

보호 기록이 없으면 스크립트가 묵묵부답이니 참고하세요.

ClearDefenderHistory실행.png

초보라 좀더 알아보기 쉽게 cmd로 재정렬해봤습니다 

예전에 소개했던 "Defender 제외 사항 추가 보내기 메뉴"에 추가했습니다 

보내기 메뉴에 등록하지 않고 따로 빼서 사용하셔도됩니다

Defender관리 보내기 메뉴.png

Defender 보호 기록 정리.png

*혹 외부툴 쓰지 않고 재부팅없이 제거할수 있는 능력자분 계시면 스킬전수 부탁드립니다.

 

: 한달후엔(기본) 없어질텐데 구지 저렇게까지 삽질해서 제거할 필요가 있나 생각 하시는분들도 계실겁니다

당장 꼴보기 싫은것도 있지만,업무용이나 남이 쓰는 다른 PC 사용하다 딱 걸려들면 

증거인멸해서 정리해주는게 매너라고 생각합니다 ㅎㅎ

 

수정(깜빡하고 조건문을 안달았네요 ;;)  Defender우클릭_보내기_메뉴.zip

 

 

 

 

https://windowsforum.kr/review/20621543 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 추천 등록일
[공지] 사용기/설치기 이용안내 gooddew - - -
11369 윈 도 우| 큰나무님 아이디어 초보가 흉내 내기 입니다 아무생각없이 ... [5] 수리수리 421 15 09-20
11368 기 타| imdisk 가 설치된 10pe x64 admin에 RSPASC1.23를 적용하여... [7] 왕초보 422 4 09-26
11367 기 타| (2탄) x64PE에서 원격제어시에만 dll을 추가하는 방식을 사... [4] 왕초보 423 5 03-26
11366 윈 도 우| 지후빠님 테스트샷 ^^; [4] 하늘색꿈 423 4 11-26
11365 기 타| IFW 자체 명령어에서 보여주는 정보를 활용하여 보았습니다. [5] 왕초보 424 4 01-17
11364 윈 도 우| Win11-10-System pe 간단 사용기 처음해본 gif ^^ [4] 수리수리 424 20 08-08
11363 윈 도 우| 31-okrboot 부팅사용기 [6] 마로94 424 14 01-10
11362 하드웨어| 멀티모니터와 글라디우스 2 코어 마우스 환장의 짝꿍 치토스 426 2 07-24
11361 윈 도 우| 크롬 업데이트에러....사용자 계정_etc [3] 4k8k 426 7 12-19
11360 윈 도 우| [오류발견] 집**큰**님의 11-3 okr pe 백업 테스트 - 격*... [11] 상발이 426 15 01-09
11359 윈 도 우| 큰나무님 11-3 오케알 pe 부팅~ [7] 립뽀 426 16 01-09
11358 기 타| [2] Macrium Reflect Y: 를 고정으로 사용을 하여 보았습니... [4] 왕초보 427 9 01-31
11357 소프트웨어| 혹시 rspasc 사용하시는 분들 중 못..짱구님 pe 에서 [2] 카멜 427 6 12-13
11356 윈 도 우| CN+OKR PE Bluetooth^^ +피드백 포함 시간 설정 [7] 4k8k 427 13 06-19
11355 기 타| ( 90%-첨부 )현재 기준 사용자 선택 시간이 지난 파일 폴더... [4] 빨강모자 427 18 09-01
11354 기 타| winXPE147 kj_Win10_22H2 (빌드19045.4894)수정 사용기 [46] 격자 428 101 09-16
11353 윈 도 우| 큰**님 _ DISM_OS OKR 아홉번째 복원전용 배치 사용기 ^^ [2] 수리수리 428 18 03-08
11352 윈 도 우| CN+OKRboot_집앞의 큰나무님~ 감사 스샷 올려 봅니다^^ [24] 호롱불 429 21 06-20
11351 윈 도 우| 5차. CN+OKR PE 사용기 [13] 4k8k 430 14 06-25
11350 기 타| COLi**님 PE 시작메뉴를 Pintools.exe로 등록하기 입니다 [2] 왕초보 431 5 03-10
홈으로 위로 목록
XE1.11.6 Layout1.4.8