cr0x.net — Складні задачі. Чисті рішення.
Українська

Офлайн-сканування Defender: перевірка на шкідливе ПЗ, яка справді виявляє загрози

February 12, 2026 • February 12, 2026 • Читання: 4 хв • Views: 0

Було корисно?

Деякі збої не виглядають як шкідливе ПЗ. Вони виглядають як «клієнт VPN інколи падає», «LSASS перезапускається раз на день», «вентилятор ноутбука реве як реактивний двигун» або «чому кожна збірка тепер триває на 20 хвилин довше?». Ви можете патчити, перезавантажувати, перевстановлювати систему — і все одно ганятися за привидами, тому що ви скануєте систему зсередини самої системи.

Defender Offline Scan — це непримітний прийом, який ріже частину того хаосу. Він завантажує систему в довірене середовище, сканує вашу інсталяцію Windows, поки вона не працює, і виявляє речі, які люблять ховатися за гачками живої ОС. Якщо ви оперуєте продакшн-флотом або ви нещаслива людина, яку викликають, коли «дивна проблема з робочою станцією» перетворюється на «інцидент безпеки», вам варто знати цей інструмент напам’ять.

Що таке Defender Offline Scan насправді (і чого очікувати)

Microsoft Defender Offline Scan — це спеціальний режим Microsoft Defender Antivirus, який перезавантажує машину в середовище відновлення Windows (WinRE) і виконує сканування, поки основна інсталяція Windows офлайн. Слово «офлайн» тут має ключове значення. Шкідливе ПЗ, яке вміє підмінювати працюючі процеси, ховати файли за допомогою ядрових трюків або втручатися в службу Defender, набагато важче працює, коли Windows не запущена.

Операційно: ви його запускаєте, Windows планує одноразове завантаження в WinRE, воно оновлює сигнатури, якщо може, сканує, записує результати назад в інстальовану ОС і потім завантажує вас у звичайну Windows. Ви можете запустити це через інтерфейс Windows Security або PowerShell. В ентерпрайзі це часто ініціюють як частину реагування на інциденти або як діагностику «ця машина нам бреше».

Для чого воно підходить

  • Виявлення руткітів і шкідливого ПЗ на етапі завантаження, яке може ухилятися від живого сканування, підключаючись до ОС.
  • Сканування упертих файлів, які заблоковані або постійно перезаписуються під час роботи Windows.
  • Зниження довіри до скомпрометованої ОС — ви скануєте з більш довіреного оточення.

Чого воно не виправить автоматично

  • Скомпрометований рівень прошивки (UEFI-імпланти, шкідливі option ROM). Офлайн-сканер не переписує прошивку.
  • Компрометація облікових даних. Якщо атакер уже вкрав токени/креденшіали, видалення шкідливого ПЗ не поверне час назад.
  • Погана гігієна. Якщо у вас повсюди локальні адмін-права й ігноруються патчі, ви просто повторно інфікуватиметеся.

Жарт №1: Офлайн-сканування — як допитувати дитину, хто розбив вазу, але робити це, поки дитина спить. Раптом історія стає набагато послідовнішою.

Коли його використовувати: дерево рішень

Використовуйте Defender Offline Scan, коли підозрюєте, що ОС не можна довіряти для самоперевірки. Ця підозра може походити з сигналів безпеки або з симптомів надійності, які «занадто дивні, щоб бути просто Windows». Ось дерево рішень, яке мені добре служило:

Запустіть зараз, якщо істинне будь-що з цього

  • Defender вимкнено і не вмикається після застосування політик і перезавантажень.
  • Повторні виявлення, які з’являються знову після очищення, особливо в системних локаціях (драйвери, заплановані задачі, WMI, Run-ключі).
  • EDR-телеметрія показує втручання (спроби зупинки служби, зміни реєстру, завантаження драйверів, яких ви не авторизували).
  • Підозріва поведінка під час завантаження (неочікувані завантаження в режим відновлення, завантажувальні цикли після патчів, помилки під час завантаження, які зникають у безпечному режимі).
  • «Сканування не може завершитися» у звичайному режимі через access denied, заблоковані файли або постійні помилки.

Можливо, не запускайте його в першу чергу, якщо проблема очевидно операційна

  • Очевидна відмова диска (помилки диска, попередження SMART, корупція NTFS). Виправте диск спочатку; офлайн-сканування на вмираючому носії — це як перетворити гірку на катастрофу.
  • Відомий регрес оновлення, що впливає на багато машин одночасно. Не плутайте широку помилку з таргетованою інфекцією.
  • Скарги лише на продуктивність без інших сигналів. Зробіть базове профілювання, перш ніж перезавантажувати користувачів у WinRE.

Тим не менш, якщо сумніваєтеся і маєте вікно техобслуговування: офлайн-сканування менш драматичне, ніж перевстановлення, і дає більше результату, ніж «ми запустили швидке сканування й нічого не знайшлося».

Факти та історія, які мають значення в реальних інцидентах

Кілька контекстних пунктів, які це не просто цікавість — вони формують ваш підхід до експлуатації в продакшні:

  1. Офлайн-сканування стало масовим, бо шкідливе ПЗ навчилося жити на етапі завантаження. Ранні руткіти цілеспрямовували MBR, пізніше UEFI/ланцюги завантаження; сканування під час роботи Windows часто пропускає завантажувальні трюки.
  2. WinRE — це середовище, у якому виконується офлайн-сканування. Якщо WinRE вимкнено або пошкоджено, робочий процес офлайн-сканування може впасти ще до старту.
  3. Оновлення сигнатур у WinRE не гарантоване. Якщо середовище відновлення не має доступу до мережі, воно може сканувати зі старими визначеннями. Це все ще корисно, але варто знати, з чим ви працюєте.
  4. Сучасна Windows швидко завантажується частково тому, що не завжди виконує повний «холодний» старт. Fast Startup (гібридне вимкнення) означає, що «перезавантаження» і «вимкнення» не завжди рівні; для інцидент-реагування вам потрібні справжні перезавантаження та контрольовані шляхи завантаження.
  5. Атакувальники регулярно цілеспрямовано впливають на засоби захисту. Зупинки служби Defender, зміни політик, виключення і втручання — це стандартні пункти в плейбуку атак, а не рідкість.
  6. Офлайн-сканування не замінює EDR. Це інструмент для точкового огляду в певний момент часу. Вам потрібна телеметрія, стримування та перевірка після очищення.
  7. Персистентність шкідливого ПЗ часто ховається в банальній Windows-логіці. Заплановані задачі, служби, постійні підписки WMI і ключі реєстру Run — це «законні» механізми, які найчастіше зловживають.
  8. Шифрування диска змінює історію сканування. BitLocker може бути сумісним, але ключі відновлення й потік завантаження мають значення; офлайн-середовища повинні мати доступ до тома Windows.

Швидкий план діагностики: знайдіть вузьке місце швидко

Коли хтось каже «Defender Offline Scan не працює», це може означати десять різних речей: він не стартує, зациклюється, триває вічність, завершився, але нічого не змінилося, або зламав BitLocker. Не здогадуйтеся. Тріажте як на виклику.

По-перше: чи машина може надійно завантажитися в WinRE?

  • Перевірте статус WinRE (увімкнено, правильний шлях).
  • Перевірте стан BitLocker (чи буде запит ключа відновлення?).
  • Перевірте конфігурацію завантаження на предмет очевидної корупції або «дивностей» (неочікувані записи в завантаженні).

По-друге: чи може Defender взагалі запускати сканування в інстальованій ОС?

  • Перевірте стан платформи Defender (служба працює, немає випадкових блокувань tamper).
  • Перегляньте журнали подій на предмет збоїв двигунів, помилок завантаження визначень або помилок сканування.
  • Підтвердіть політику (GPO/MDM навмисно не вимикає або не виключає підозрілі шляхи).

По-третє: чому скан повільний або «застряг»?

  • Стан диска/файлової системи: скан, що «висне», часто чекає на погані сектори або повторні спроби читання файлової системи.
  • Тротлінг CPU/тепловий режим: ноутбуки на батареї + термоблокування можуть перетворити «30 хвилин» у «3 години».
  • Оновлення визначень: якщо воно чекає на мережу у WinRE, ви можете витрачати час без прогресу.

Тільки після цих трьох переходьте до екзотичних теорій. Нудні перевірки першими — окупаються.

Одна максима надійності, варта пам’яті: Все ламається, постійно. — Вернер Фогельс

Практичні завдання: команди, виходи, рішення (12+)

Це завдання рівня оператора, які ви можете виконати на кінцевій точці Windows. Я показую їх у форматі, схожому на shell; на практиці ви їх виконаєте в підвищеному вікні PowerShell або через віддалені інструменти. Важлива частина: команда → вихід → рішення.

Завдання 1: Підтвердіть наявність Defender і що служба не вмерла

cr0x@server:~$ powershell -NoProfile -Command "Get-Service WinDefend | Format-List Status,StartType,Name,DisplayName"
Status    : Running
StartType : Automatic
Name      : WinDefend
DisplayName : Microsoft Defender Antivirus Service

Що це означає: Якщо Status не Running і StartType несподівано Disabled, можливо, ви боретесь із політикою або втручанням.

Рішення: Якщо служба зупинена/вимкнена, не поспішайте вважати офлайн-скан як «лікування». Спочатку визначте причину (політика проти компрометації). Офлайн-скан — діагностика й інструмент очищення, а не засіб відновлення політик.

Завдання 2: Перевірте захист у реальному часі і стан tamper

cr0x@server:~$ powershell -NoProfile -Command "Get-MpComputerStatus | Select-Object AMServiceEnabled,AntivirusEnabled,RealTimeProtectionEnabled,TamperProtectionEnabled,AntispywareEnabled | Format-List"
AMServiceEnabled            : True
AntivirusEnabled            : True
RealTimeProtectionEnabled   : True
TamperProtectionEnabled     : True
AntispywareEnabled          : True

Що це означає: Якщо захист у реальному часі вимкнений, або Defender каже, що вмикається, але служба «флапає», це сигнал для ескалації.

Рішення: Якщо Defender ускладнений і ви не можете відновити його відомою доброю політикою, плануйте офлайн-скан і контейнмент в рамках інцидент-реагування.

Завдання 3: Ініціюйте Defender Offline Scan (саме перемикач)

cr0x@server:~$ powershell -NoProfile -Command "Start-MpWDOScan"

Що це означає: Зазвичай немає дружнього виводу. Машина скоро запросить/перезавантажиться в WinRE. Якщо нічого не відбувається, зазвичай WinRE/BitLocker/політика блокує процес.

Рішення: Якщо перезавантаження не відбувається за декілька хвилин (або при наступному завантаженні), зупиніться й перевірте WinRE та журнали перед повтором команди.

Завдання 4: Підтвердіть, що WinRE увімкнено і вказує на реальне місце

cr0x@server:~$ powershell -NoProfile -Command "reagentc /info"
Windows Recovery Environment (Windows RE) and system reset configuration
Information:

    Windows RE status:         Enabled
    Windows RE location:       \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
    Boot Configuration Data (BCD) identifier: 12345678-1234-1234-1234-1234567890ab
    Recovery image location:
    Recovery image index:      0
    Custom image location:
    Custom image index:        0

Що це означає: Якщо WinRE Disabled або місце пусте, офлайн-скан не матиме «злітної смуги».

Рішення: Виправте WinRE спочатку (увімкніть, відновіть розділ відновлення або перереєструйте). Не продовжуйте бити Start-MpWDOScan у надії.

Завдання 5: Перевірте стан BitLocker, щоб не залишитися в підвішеному режимі з підказками відновлення

cr0x@server:~$ powershell -NoProfile -Command "manage-bde -status C:"
BitLocker Drive Encryption: Configuration Tool version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: [OSDisk]
[OS Volume]

    Size:                 475.85 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 256
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Що це означає: Офлайн-операції можуть викликати відновлення в деяких крайніх випадках (зміни прошивки, PCR-зміни, зміни конфігурації завантаження).

Рішення: Переконайтеся, що ключ відновлення збережено й доступний перед масовим плануванням офлайн-сканів.

Завдання 6: Примусово перевірити «чи взагалі скан працює» в онлайн-режимі

cr0x@server:~$ powershell -NoProfile -Command "Start-MpScan -ScanType QuickScan"

Що це означає: Знову мінімальний вивід. Використовуйте це, щоб підтвердити, що двигун може ініціювати скани взагалі.

Рішення: Якщо quick scan одразу падає, офлайн-скан може й досі спрацювати, але вам потрібні журнали для розуміння стану двигуна.

Завдання 7: Перевірте версії визначень/движка (щоб знати, чи скануєте ви зі застарілими даними)

cr0x@server:~$ powershell -NoProfile -Command "Get-MpComputerStatus | Select-Object AMEngineVersion,AMProductVersion,AntivirusSignatureVersion,AntivirusSignatureLastUpdated | Format-List"
AMEngineVersion               : 1.1.24090.11
AMProductVersion              : 4.18.24090.11
AntivirusSignatureVersion     : 1.421.1152.0
AntivirusSignatureLastUpdated : 2/5/2026 9:14:22 AM

Що це означає: Старі сигнатури не означають «марно», але знижують довіру — особливо проти нових кампаній.

Рішення: Якщо сигнатури застаріли — оновіть спочатку (якщо безпечно), потім перезапустіть скани; якщо не можете оновити через підозру на компрометацію, офлайн-скан все ще має значення, але «чисто» = «не доведено».

Завдання 8: Явно оновити сигнатури (і подивитися, чи помилка з’явиться)

cr0x@server:~$ powershell -NoProfile -Command "Update-MpSignature"

Що це означає: Відсутність виводу — звично. Збої з’являються в журналах подій або як текст помилки в деяких середовищах.

Рішення: Якщо оновлення сигнатур регулярно падає, перевірте проксі/TLS‑інспекцію, підключення Windows Update і чи не відбувається втручання в шляхи оновлення.

Завдання 9: Витягніть найбільш релевантні операційні події Defender

cr0x@server:~$ powershell -NoProfile -Command "Get-WinEvent -LogName 'Microsoft-Windows-Windows Defender/Operational' -MaxEvents 20 | Select-Object TimeCreated,Id,LevelDisplayName,Message | Format-Table -AutoSize"
TimeCreated           Id  LevelDisplayName Message
-----------           --  ---------------- -------
2/5/2026 10:02:11 AM  100 Information      Microsoft Defender Antivirus scan started.
2/5/2026 10:14:52 AM  111 Information      Microsoft Defender Antivirus scan completed.
2/5/2026 10:14:52 AM  2001 Warning          Microsoft Defender Antivirus detected malware or other potentially unwanted software.

Що це означає: Ідентифікатори подій варіюються, але ви шукаєте «scan started/completed», «threat detected», «remediation» і «engine error».

Рішення: Якщо ви не бачите подій життєвого циклу сканування взагалі, ви фактично не скануєте — щось блокує процес.

Завдання 10: Структуровано витягнути недавні виявлення загроз

cr0x@server:~$ powershell -NoProfile -Command "Get-MpThreatDetection | Select-Object DetectionTime,ThreatName,ActionSuccess,Resources | Format-List"
DetectionTime : 2/5/2026 10:14:49 AM
ThreatName    : Trojan:Win32/FooBar.A!ml
ActionSuccess : True
Resources     : {file:_C:\Windows\System32\drivers\bad.sys}

Що це означає: Це інтерфейс «що спіймали», включно з шляхами файлів і тим, чи вдалась ремедіація.

Рішення: Якщо той самий ресурс з’являється після ремедіації, припустіть наявність персистентності і переходьте до офлайн-скану та пошуку механізмів персистентності.

Завдання 11: Перевірте виключення політики, що випадково створили «сліпу зону»

cr0x@server:~$ powershell -NoProfile -Command "Get-MpPreference | Select-Object -ExpandProperty ExclusionPath"
C:\BuildCache
C:\Tools\ScannerTemp

Що це означає: Виключення іноді необхідні, але часто зловживані. Атакувальники люблять «безпечні місця». Так само і інженери, орієнтовані на продуктивність.

Рішення: Якщо бачите широкі виключення для шляхів, доступних для запису користувачами — вважайте це дефектом безпеки. Звузьте їх і проскануйте знову.

Завдання 12: Перевірте налаштування сканування, які можуть викликати сюрпризи (навантаження CPU, графік, ремедіація)

cr0x@server:~$ powershell -NoProfile -Command "Get-MpPreference | Select-Object ScanAvgCPULoadFactor,DisableArchiveScanning,DisableRemovableDriveScanning,PUAProtection | Format-List"
ScanAvgCPULoadFactor        : 50
DisableArchiveScanning      : False
DisableRemovableDriveScanning : False
PUAProtection               : Enabled

Що це означає: Фактор середнього навантаження CPU впливає на продуктивність і тривалість сканування. Сканування архівів важливе, якщо шкідливе ПЗ заховано в ZIP/ISO тощо.

Рішення: Якщо офлайн-скани тривають занадто довго на певному класі машин, реалістично налаштуйте політики — не вимикайте сканування глобально.

Завдання 13: Пошукайте очевидні проблеми зі станом диска перед тим, як звинувачувати Defender у «повільному скані»

cr0x@server:~$ powershell -NoProfile -Command "wmic diskdrive get status,model"
Model                               Status
NVMe Samsung SSD 980 PRO 1TB         OK

Що це означає: OK — не гарантія, але не-OK — гучна підказка.

Рішення: Якщо стан диска викликає сумнів, пріоритезуйте діагностику/заміну; офлайн-сканування на бракованому носії — питання ризик-менеджменту, а не геройства.

Завдання 14: Запустіть план перевірки NTFS (спочатку лише для читання)

cr0x@server:~$ powershell -NoProfile -Command "chkdsk C: /scan"
The type of the file system is NTFS.
Volume label is OSDisk.

Stage 1: Examining basic file system structure ...
  512000 file records processed.
File verification completed.
Windows has scanned the file system and found no problems.
No further action is required.

Що це означає: Якщо NTFS несправний, скани можуть зависати або давати дивні помилки доступу.

Рішення: Якщо знайдено помилки, заплануйте ремонт. Не вважайте повторні збої сканування як «має бути шкідливе ПЗ», поки файлову систему не приведено в порядок.

Завдання 15: Перевірте цілісність системних файлів (бо шкідливе ПЗ і корупція виглядають схоже о 2-й ночі)

cr0x@server:~$ powershell -NoProfile -Command "sfc /scannow"
Beginning system scan.  This process will take some time.

Beginning verification phase of system scan.
Verification 100% complete.

Windows Resource Protection did not find any integrity violations.

Що це означає: Якщо системні файли змінені, це може бути ознакою компрометації або проблем з диском/ОП/обслуговуванням.

Рішення: Якщо SFC знаходить порушення, які не може виправити — ви заходите в область DISM і обслуговування — і слід розглядати «інцидент безпеки» та «інцидент ремонту» як взаємопов’язані, поки не доведено інше.

Завдання 16: Перевірте стан компонентів DISM (коли SFC незадоволений)

cr0x@server:~$ powershell -NoProfile -Command "DISM /Online /Cleanup-Image /CheckHealth"
Deployment Image Servicing and Management tool
Version: 10.0.19041.1

Image Version: 10.0.19045.3803

No component store corruption detected.
The operation completed successfully.

Що це означає: Корупція component store може ламати оновлення Defender і поведінку сканування.

Рішення: Якщо виявлено корупцію — виправте її перед тим, як робити висновки з результатів сканування.

Завдання 17: Підтвердіть, що машина справді перезавантажилася і не просто «відновилася» (увага до Fast Startup)

cr0x@server:~$ powershell -NoProfile -Command "Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005} -MaxEvents 3 | Select-Object TimeCreated,Message | Format-Table -AutoSize"
TimeCreated           Message
-----------           -------
2/5/2026 10:22:01 AM  The Event log service was started.
2/5/2026 8:03:17 AM   The Event log service was started.

Що це означає: Ви перевіряєте події завантаження як швидку емпіричну перевірку, що перезавантаження відбулися в рамках вікна офлайн-скану.

Рішення: Якщо машина насправді не перезавантажилася, коли ви очікували, офлайн-скан ймовірно не запустився. Виправте проблему з перезавантаженням/контрольною площиною спочатку.

Читати результати як оператор, а не ворожбит

Офлайн-скан закінчився, машина повернулася, і всі хочуть бінарну відповідь: «Чи ми чисті?» Правильна відповідь майже завжди: «Що видалили, що змінилось, який залишковий ризик і яке моніторинг відловить рецидив?»

Що означає «загроз не знайдено» насправді

  • Це означає, що Defender не знайшов нічого, що він класифікує як загрозу з використаними двигуном і сигнатурами на момент сканування.
  • Це не означає «немає активності атакера».
  • Це не означає «персистентність відсутня». Частина персистентності — це конфігурації, які не класифікуються як шкідливі файли.

Що має запускати «загроза знайдена і вилучена»

  • Перегляд ізоляції: припустіть, що хост було скомпрометовано. Розгляньте мережеву ізоляцію, поки не зрозумієте масштаби.
  • Гігієна облікових даних: розслідуйте індикатори доступу до облікових даних (доступ до LSASS, підозрілі логони) і змініть ключі/паролі, де потрібно.
  • Перевірка персистентності: перегляньте заплановані задачі, служби, елементи автозапуску, підписки WMI. Офлайн-скан може видалити payload, але залишити засіб запуску.
  • Корінь проблеми: вкладення в листі, завантаження з вебу, вразливий плагін браузера, латеральне пересування, відкритий RDP — знайдіть реальну діру й закрийте її.

Коли все ж треба перевстановити систему (reimage)

Якщо ви знаходите bootkit, драйвер ядра невідомого походження або докази крадіжки облікових даних, перевстановлення часто дешевше, ніж сперечатися з невизначеністю. Reimage — це не моральна перемога; це менеджмент часу.

Жарт №2: Reimage — це IT-версія «вимкнути й увімкнути», тільки воно дійсно вирішує проблему і одночасно руйнує вам вечір.

Три корпоративні міні-історії (як це ламається в житті)

Міні-історія №1: Інцидент, спричинений хибним припущенням

У них був періодичний сервер збірки, який «рандомним чином» сповільнювався і зрідка не міг виконати checkout коду. Команда звинувачувала мережу, потім Git-хостинг, потім інструмент збірки. Це була знайома корпоративна балетна сценка: три команди, один симптом, нуль відповідальності.

Хтось запустив звичайне швидке сканування. Чисто. Хтось інший запустив повне сканування у п’ятницю ввечері. Чисто. Припущення закріпилося в легенді: «Це не шкідливе ПЗ; Defender вже перевірив». Тому вони налаштували ретраї, додали кешування і ігнорували випадкові рестарти служби Defender, бо «це Windows».

За місяць служба інцидент-реагування втрутилася після поміченого підозрілого вихідного трафіку з того самого сервера. Офлайн-скан нарешті запустили. Він позначив шкідливий драйвер, захований у системному каталозі, і механізм персистентності, який не був очевидний у живій Windows, бо машина заважалась під час роботи.

Постмортем болів, але з правильної причини: вони рівняли «ми просканували» з «ми можемо довіряти результату». Неправильне припущення було не технічним; воно було процедурним. Вони ставили скомпрометовану систему як довірений сканер себе самої.

Що змінилося потім було простим і ефективним: будь-яка «дивна» поведінка системи, яка пережила цикл патча + перезавантаження, отримувала офлайн-скан (або еквівалент) перед тим, як її позначили «ненадійною інфраструктурою». Не кожне уповільнення — це шкідливе ПЗ, але якщо ви ніколи не перевіряєте — ви ставите бізнес на надію.

Міні-історія №2: Оптимізація, яка обернулася проти

Команда десктоп-інженерів, що дбала про безпеку, спробувала допомогти розробникам. Було додано виключення Defender, щоб пришвидшити збірки: великі робочі шляхи, кеші, папки залежностей. Часи збірки покращилися, і всі були задоволені. Так завжди починається.

Потім новий «інструмент» почав з’являтися в робочих просторах розробників: двійковий файл з правдоподібною назвою, що жив у виключеному шляху і запускався запланованою задачею. Defender його не сканував. EDR пізніше зафіксував щось латерально, але тоді вже кілька машин мали той самий «інструмент», бо він поширювався у спільних скриптах.

Офлайн-скан на кількох машинах спіймав payload у місцях поза виключеннями, але це не змінило більшу реальність: середовище мало навмисну сліпу зону. Оптимізація не була злочином; вона була наївністю. Тюнінг продуктивності тихо став політикою безпеки.

Виправлення не було «видалити всі виключення» (що викликало б бунт розробників і, ймовірно, рішучі обхідні шляхи). Виправлення полягало в звуженні виключень (конкретні типи файлів, конкретні інструменти), переміщенні кешів у шляхи, які можна сканувати з нижчим пріоритетом, і впровадженні підписування виконуваних файлів у робочих просторах, де це можливо.

Урок: якщо ви оптимізуєте шляхом виключення — ви обираєте, які частини системи вам комфортно не бачити. Переконайтеся, що вам підходить цей вибір.

Міні-історія №3: Нудна, але правильна практика, яка врятувала день

Середня компанія мала простий playbook для кінцевих точок без «героїв». Це не було модно. Це були майже контрольні списки: перевірити WinRE, перевірити ескроу ключів BitLocker, перевірити стан Defender, потім вибрати між офлайн-сканом і перевстановленням. Вони також централізовано логували події Defender Operational. Останнє — болісно неефектне, але надзвичайно цінне.

Одного понеділка служба допомоги отримала купу заявок: машини перезавантажуються з підказками про відновлення після рутинного обслуговування. Інтуїція казала «поганий патч». Але операційна команда слідувала чеклісту: вони переглянули статус WinRE, стан захисника BitLocker і журнали завантаження. Вони побачили закономірність: підказки з’являлися лише на системах, яким недавно торкалися конфігурації завантаження.

Вони призупинили подальші зміни, перевірили доступність ключів відновлення і запустили офлайн-скани на вибірковій підмножині. Дві машини показали реальне шкідливе ПЗ, яке намагалося закріпитися під час завантаження. Це не було широким, але реальним. Без нудних централізованих логів і звички «перевіряти перед зміною» це б списали як шум від патча.

Результат не був драматичним — і це найкраще. Інцидент залишився локальним. Команда не втратила дні. Ніхто не послаблював BitLocker під тиском. Вони просто зробили правильні кроки в правильному порядку, і система віддячила ясністю.

Поширені помилки: симптом → корінь → виправлення

Ця частина запобігає повторним інцидентам. Це не загальні «будьте обережні» попередження; це те, що реально вибухає у масштабі.

1) Симптом: Start-MpWDOScan запускається, але машина ніколи не перезавантажується в офлайн-скан

  • Корінь: WinRE вимкнено/пошкоджено або перезавантаження відтерміноване через користувацький час роботи; іноді політика блокує дії відновлення.
  • Виправлення: Перевірте за reagentc /info. Увімкніть/відновіть WinRE. Заплануйте контрольоване вікно перезавантаження і підтвердіть через системні події завантаження.

2) Симптом: Офлайн-скан повертається в Windows без сканування

  • Корінь: WinRE не може змонтувати том ОС (незавершена підказка BitLocker, проблеми драйвера контролера, пошкоджене середовище відновлення).
  • Виправлення: Підтвердіть стан BitLocker і доступність ключа відновлення. Перевірте драйвери контролера зберігання і здоров’я WinRE. Не повторюйте скани марно — ви просто робите користувачів зайвими.

3) Симптом: Офлайн-скан триває «вічно» або здається застряглим

  • Корінь: Помилки диска, дуже великі дерева файлів, сканування архівів або сильний тротлінг CPU.
  • Виправлення: Перевірте стан диска і запустіть chkdsk /scan. Перегляньте налаштування сканування і виключення. Якщо диск ламається — пріоритезуйте заміну і розгляньте образування диска для судово-експертного аналізу.

4) Симптом: Загроза видалена, але повертається за день

  • Корінь: Механізм персистентності не видалено (запланована задача/служба/WMI), або шлях повторної інфекції відкритий (спільний диск, скомпрометовані креденшіали, вразливе ПЗ).
  • Виправлення: Полюйте за персистентністю явно, перевірте латеральний рух, змініть креденшіали за потреби і запатчіть початкову діру.

5) Симптом: Defender повідомляє «загроз не знайдено», але поведінка все ще підозріла

  • Корінь: Некомпрометована конфігурація, нове шкідливе ПЗ, living-off-the-land активність або сканування з застарілими сигнатурами.
  • Виправлення: Оновіть сигнатури, зберіть телеметрію і розслідуйте з EDR і системним аудитом. Ставтеся до «чистого скану» як до одного з джерел даних, а не до вироку.

6) Симптом: Офлайн-скан несподівано викликає підказки відновлення BitLocker

  • Корінь: Зміни конфігурації завантаження, оновлення прошивки, зміни PCR або відсутні/змінені засоби захисту.
  • Виправлення: Переконайтеся, що ключі відновлення ескроубані й доступні. Координуйте зміни прошивки/завантаження з управлінням BitLocker. Уникайте змін в останню хвилину перед масовими офлайн-сканами.

7) Симптом: Defender не може оновити сигнатури; результати офлайн-скану ненадійні

  • Корінь: Проблеми з підключенням/проксі/TLS‑інспекція, зламані компоненти Windows Update або зловмисне втручання в шляхи оновлення.
  • Виправлення: Перевірте стан Windows Update (DISM), перевірте політику проксі і розслідуйте можливе втручання. Якщо є компрометація — застосуйте контейнмент і розгляньте перевстановлення.

Контрольні списки / покроковий план

Ось план, який ви можете виконувати як операційний рутина в стилі SRE: визначені вхідні дані, контрольовані зміни, підтверджені виходи.

Чекліст A: Перед запуском Defender Offline Scan на одній кінцевій точці

  1. Визначте, навіщо ви це робите. «Дивна поведінка» — це нормально, але запишіть симптом, який ви очікуєте, що скан пояснить.
  2. Підтвердіть, що WinRE увімкнено за допомогою reagentc /info.
  3. Підтвердіть доступність ключів відновлення BitLocker (не «ймовірно в чиємусь мейлі»). Перевірте manage-bde -status.
  4. Оновіть сигнатури Defender, якщо систему вважають достатньо безпечною для цього: Update-MpSignature.
  5. Витягніть недавні журнали Defender Operational, щоб мати базову лінію.
  6. Заплануйте час простою і повідомте користувача, що відбудеться. Офлайн-скан — це перезавантаження й час у WinRE. Сюрпризи породжують тікети.

Чекліст B: Запустіть і підтвердіть, що воно дійсно запустилося

  1. Ініціюйте скан: Start-MpWDOScan.
  2. Переконайтеся, що машина перезавантажиться у контрольованому вікні.
  3. Після повернення у Windows перевірте події Defender на наявність старт/закінчення сканування і записів про ремедіацію.
  4. Витягніть виявлення загроз через Get-MpThreatDetection.

Чекліст C: Дії після сканування (те, що люди пропускають і потім шкодують)

  1. Якщо знайдено загрозу: ізолюйте пристрій, якщо політика дозволяє; почніть процес інцидент-реагування.
  2. Перевірте механізми персистентності навіть якщо ремедіація вказує «успішно». Видалення payload ≠ видалення персистентності.
  3. Перезапустіть швидке онлайн-сканування і підтвердіть, що стан Defender не погіршився.
  4. Вирішіть — перевстановлення чи продовжити на основі класу загрози (драйвери/рівень завантаження = схильність до reimage).
  5. Документуйте зміни: ім’я загрози, шляхи файлів, часові мітки і план моніторингу після.

FAQ

1) Чи працює Defender Offline Scan на Windows 10 і Windows 11?

Так. Робочий процес спирається на WinRE і Microsoft Defender Antivirus. Деталі змінюються залежно від білду і політик, але концепція залишається.

2) Чи видалить Offline Scan усе автоматично?

Ні. Він ремедіює те, що Defender може класифікувати і обробити. Не розкручує всі механізми персистентності, не виправляє зламані політики і не відміняє крадіжку облікових даних.

3) Чи можу я запускати Offline Scan віддалено на флоті?

Ви можете ініціювати це через PowerShell віддалено, але все одно плануєте перезавантаження і переривання користувачів. На масштабі успіх залежить від здоров’я WinRE, ескроу ключів BitLocker і дисципліни вікон обслуговування.

4) Чи потребує Offline Scan доступу до інтернету?

Воно може працювати без інтернету, але тоді може не оновити сигнатури в середовищі відновлення. Якщо машина також не може оновити визначення в нормальному режимі, ставтеся до результатів з обережністю.

5) Чи безпечно Offline Scan з BitLocker?

Зазвичай так, але потрібно планувати підказки відновлення. Якщо стан прошивки або конфігурація завантаження змінюються несподівано, BitLocker може запросити ключ відновлення.

6) Якщо Offline Scan знайде шкідливе ПЗ, чи слід завжди перевстановлювати систему?

Не завжди. Для користувацьких adware/PUA з чіткими ремедіаціями і без інших індикаторів можете продовжити. Для драйверів ядра, завантажувальної персистентності або ознак крадіжки облікових даних перевстановлення частіше є правильним рішенням.

7) Чому Offline Scan триває так довго у порівнянні з Quick Scan?

Quick Scan фокусується на типових місцях і артефактах, пов’язаних з пам’яттю. Офлайн-скан може пройти більшу частину диска, обробляти архіви і раніше заблоковані файли. Також: погані диски роблять усе сповільненим.

8) У чому різниця між скануванням у Safe Mode і Offline Scan?

Safe Mode все ще запускає Windows, але з меншим набором драйверів і сервісів. Offline Scan працює поза інстальованою ОС, зменшуючи можливість втручання шкідливого ПЗ. Якщо підозрюєте глибоке втручання — обирайте офлайн.

9) Що робити, якщо Offline Scan каже «загроз не знайдено», але EDR усе одно сигналить?

Довіряйте телеметрії і узгодьте розрив. Офлайн-скан — це сигнатурний/двигунний огляд у певний момент часу. EDR може сигналити про поведінку, латеральний рух або персистентність, яка не є «відомим файлом». Розслідуйте, не сперечайтеся.

10) Чи допоможе Offline Scan, якщо машина не завантажується?

Інколи. Якщо WinRE завантажується і може отримати доступ до тома Windows, можна виконати ремедіацію. Якщо машина не досягає WinRE або диск відсутній — це сфера відновлення/перевстановлення.

Висновок: що робити наступного тижня

Defender Offline Scan — не глянцевий інструмент. Саме тому він працює. Це контрольоване перезавантаження в більш довірене середовище, яке ловить клас проблем, що люблять ховатися на виду, поки ОС працює.

Наступні кроки, які реально підвищать ваші шанси:

  1. Аудит здоров’я WinRE по флоту. Якщо WinRE вимкнено або пошкоджено повсюдно, ваш план «офлайн» — вигадка.
  2. Підтвердіть ескроу ключів BitLocker і їх доступність під навантаженням.
  3. Стандартизуйтесь playbook для кінцевих точок, що включає: онлайн quick scan, перевірку стану сигнатур, тригер офлайн-скану, перевірку журналів і перевірку персистентності після скану.
  4. Перегляньте виключення Defender з тією ж скептичною увагою, яку ви застосовуєте до «тимчасових» правил брандмауера.
  5. Визначте поріг для перевстановлення заздалегідь. Під тиском ви не хочете філософських дебатів — ви хочете виконувати політику.

Коли машина поводиться як привид, не торгуйтесь з нею. Завантажте її офлайн, проскануйте належно і прийміть чітке рішення: ремедіація з упевненістю або перевстановлення з гідністю.

← Попередня
Драйвери Windows: стратегія оновлень, що запобігає «він вийшов з ладу за ніч»
Наступна →
Установка Windows зависає на 0%: прихована причина, яку ніхто не перевіряє

Схожі статті

Трюк «чистого завантаження»: виявіть проблемний додаток менше ніж за 10 хвилин February 28, 2026 Windows Update зависає: виправити без очищення ПК February 26, 2026 100% використання диска: справжні причини (та реальні виправлення) February 25, 2026 Додатки випадково втрачають інтернет: пояснення виправлення Winsock February 24, 2026 Виправити петлю «Вашому пристрою бракує важливих виправлень безпеки та якості» February 22, 2026 Розряд батареї ноутбука вночі: стан сну, який бреше February 21, 2026 Відновлення помилок диска під час завантаження: що робити, поки не стало гірше February 21, 2026 Піки CPU кожні кілька хвилин: заплановане завдання, яке слід перевірити насамперед February 21, 2026 Event Viewer для людей: знайдіть реальні помилки за 5 хвилин February 18, 2026 Випадкові зависання без BSOD: журнал, який виявляє винуватця February 17, 2026

Залишити коментар