本刊2020第18期的文章《向2004版看齐 自己调整WinRE恢复分区》详细介绍了Bootice.exe的用法。
进入系统后,在桌面上右击任意一个文件并选择“使用Microsoft Defender扫描”,在打开的窗口中单选“Microsoft Defender脱机版扫描”,然后点击“立即扫描”(图1)。大约1分钟后系统会自动重启,重启完后会直接进入脱机杀毒界面并开始扫描系统(图2)。
因为图2所示的脱机杀毒功能实际使用的是PE系统,所以可以有效地查杀一些无法在Windows中查杀的顽固病毒。下面介绍如何将该功能添加到启动菜单中。
1下载脱机杀毒系统
我们先打开“https://download.microsoft.com/download/B/F/E/BFE0A96A-72DC-4EDF-91BD-543A20D53DB2/mssstool64.exe”链接下载所需的程序,安装完后启动该程序,在“选择启动媒体”这步中单选“作为磁盘上的ISO文件(高级)”(图3),剩余的操作按屏幕提示进行即可。下载到的文件是“C:\ProgramData\Microsoft\MicrosoftStandalone System Sweeper Tool\WDO_Media64.iso”,右击“WDO_Media 64.iso”并选择“装载”,将其加载到虚拟光驱中(图4)。
2添加启动菜单
先在C : \下新建一个目录“defender”,然后将图4所示窗口中的所有文件复制到该目录备用。接下来使用bootice.exe添加启动菜单,启动bootice .exe后依次切换到“BCD编辑→当前BCD文件→智能编辑模式”,在打开的窗口中点击“添加→新建WIM启动项”,然后按下图所示设置启动参数(图5)。
以后当我们需要使用脱机杀毒功能时,重启后在多重启动菜单中选择“ WindowsDefender离线杀毒”(图6),就会进入图2所示的界面,按提示完成脱机杀毒后重启电脑即可。
3升级病毒库
我们在使用脱机杀毒功能时当然也需要最新的病毒库文件,建议大家定期升级病毒库,以免被迫使用时因为病毒库不够新而无法杀毒。方法有下面幾种:
方法1:替换病毒库文件
图4所示窗口中的mpam-fex6 4.exe就是Windows Defender的脱机病毒库文件,病毒库文件可以到“https://www.microsof t.com/en-us/wdsi /defenderupdates”下载(每天都会更新,与重新下载脱机杀毒系统的最新版ISO文件相比,下载的文件体积小得多)。比如使用6 4位Windows 10的用户下载到的文件是mpam-fe.exe,下载完后右击它并依次选择“属性→数字签名”,确保时间戳为当天的日期(图7)。接着将其改名为mpam-fex64.exe,再替换“C:\defender”内的同名文件即可。
方法2:从本机中提取文件
mpam-fex64.exe是一个CAB格式的自解压文件,使用7-Zip打开,下图中右侧部分使用红色矩形框选的文件就是脱机病毒库中的文件。而本机中更新的病毒库文件默认保存在“C:\ProgramData\Microsoft\WindowsDefender\DefinitionUpdates\{F00FFD9F-31A5-472E-9006-026DC430D5CD}”下(下图中左侧部分使用红色矩形框选的文件),可以看到两个病毒库中的5个文件是一致的(图8)。
右侧图中的MpSigStub.exe文件可以从当前系统的“C:\windows\system32”目录提取。这样我们将提取到的MpSigStub.exe文件添加到左侧图所示的目录中,再使用Iexpress.exe将所有文件压缩为mpam-fex64.exe,最后替换“C:\defender”中的同名文件即可完成病毒库的升级。