0
在安裝我們的軟件包(NSIS作爲Admin)期間,我將netfilter2.sys(已經數字簽名)寫入c:\ Windows \ system32 \ drivers並註冊它用於分析http數據包。然後在執行cmd中的「driverquery」和所有其他註冊驅動程序時返回。所有功能都可以正常工作,並且看起來很好。netfilter2.sys驅動程序在WinVista/Win10重新啓動時自動註銷
但是,在WinVista(x86)和Win10(x64)中重新啓動後,它將零星地註銷,並且沒有功能可用。它仍然存在於c:\ Windows \ system32 \ drivers中,但在執行「driverquery」時不會再返回。
重新啓動後,在未註冊的情況下,在事件查看器Windows Logs \ System中,我們看到對netfilter2.sys的引用,稱「Windows Defender Real-Time Protection代理已採取措施保護本機免受間諜軟件其他可能不需要的軟件「。
然後我看看Windows Defender歷史日誌,看到它是「允許的」,但在允許的程序或隔離程序下看不到它。
任何想法爲什麼這個驅動程序是未註冊,以及如何防止它未來未註冊?