Uruchom analizator klienta w systemie Windows

Dotyczy:

 1. Pobierz narzędzie MDE Client Analyzer na maszynę z systemem Windows, którą musisz zbadać.

 2. Wyodrębnij zawartość MDEClientAnalyzer.zip na maszynie.

 3. Otwórz wiersz polecenia z podwyższonym poziomem poziomu:

  1. Przejdź do pozycji Start i wpisz cmd.
  2. Kliknij prawym przyciskiem myszy wiersz polecenia i wybierz pozycję Uruchom jako administrator.
 4. Wprowadź następujące polecenie i naciśnij klawisz Enter:

  HardDrivePath\MDEClientAnalyzer.cmd
  

  Zastąp ciąg HardDrivePath ścieżką, do której zostało wyodrębnione narzędzie, na przykład:

  C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
  

Oprócz powyższego istnieje również opcja zbierania dzienników obsługi analizatora przy użyciu odpowiedzi na żywo.

Uwaga

W systemie Windows 10/11, Windows Server 2019/2022 lub Windows Server 2012R2/2016 z zainstalowanym nowoczesnym ujednoliconym rozwiązaniem skrypt analizatora klienta wywołuje plik wykonywalny o nazwie MDEClientAnalyzer.exe w celu uruchomienia testów łączności z adresami URL usługi w chmurze.

W Windows 8.1, Windows Server 2016 lub dowolnej poprzedniej wersji systemu operacyjnego, w której do dołączania jest używany agent monitorowania Microsoft (MMA), skrypt analizatora klienta wywołuje plik wykonywalny o nazwie MDEClientAnalyzerPreviousVersion.exe w celu uruchomienia testów łączności dla adresów URL poleceń i kontroli (CnC), jednocześnie wywołując narzędzie TestCloudConnection.exe łączności agenta monitorowania Microsoft dla adresów URL kanału Cyber Data.

Wszystkie skrypty i moduły programu PowerShell dołączone do analizatora są podpisane Microsoft. Jeśli pliki zostały zmodyfikowane w jakikolwiek sposób, oczekuje się, że analizator zakończy pracę z następującym błędem:

Błąd analizatora klienta

Jeśli ten błąd zostanie wyświetlony, dane wyjściowe issuerInfo.txt będą zawierać szczegółowe informacje o tym, dlaczego tak się stało i jaki plik został dotknięty:

Informacje o wystawcy

Przykładowa zawartość po zmodyfikowaniu MDEClientAnalyzer.ps1:

Zmodyfikowany plik ps1

Zawartość pakietu wyników w systemie Windows

Uwaga

Dokładne przechwycone pliki mogą ulec zmianie w zależności od czynników, takich jak:

 • Wersja okien, w których jest uruchamiany analizator.
 • Dostępność kanału dziennika zdarzeń na maszynie.
 • Stan początkowy czujnika EDR (czujnik zostaje zatrzymany, jeśli maszyna nie została jeszcze dołączona).
 • Jeśli użyto zaawansowanego parametru rozwiązywania problemów z poleceniem analizatora.

Domyślnie rozpakowany plik MDEClientAnalyzerResult.zip będzie zawierać następujące elementy.

 • MDEClientAnalyzer.htm

  Jest to główny plik wyjściowy HTML, który będzie zawierał wyniki i wskazówki, które może wygenerować skrypt analizatora uruchamiany na maszynie.

 • SystemInfoLogs [Folder]

  • AddRemovePrograms.csv

   Opis: Lista oprogramowania zainstalowanego x64 w systemie operacyjnym x64 zebranych z rejestru.

  • AddRemoveProgramsWOW64.csv

   Opis: Lista oprogramowania zainstalowanego x86 w systemie operacyjnym x64 zebranych z rejestru.

   • CertValidate.log

    Opis: Szczegółowy wynik odwołania certyfikatu wykonany przez wywołanie polecenia CertUtil.

   • dsregcmd.txt

    Opis: Dane wyjściowe z uruchamiania dsregcmd. Zawiera on szczegółowe informacje o stanie Azure AD maszyny.

   • IFEO.txt

    Opis: dane wyjściowe opcji wykonywania pliku obrazu skonfigurowanych na maszynie

   • MDEClientAnalyzer.txt

    Opis: Jest to pełny plik tekstowy ze szczegółami wykonywania skryptu analizatora.

   • MDEClientAnalyzer.xml

    Opis: format XML zawierający wyniki skryptu analizatora.

   • RegOnboardedInfoCurrent.Json

    Opis: informacje o dołączonym komputerze zebrane w formacie JSON z rejestru.

  • RegOnboardingInfoPolicy.Json

   Opis: Konfiguracja zasad dołączania zebrana w formacie JSON z rejestru.

   • SCHANNEL.txt

    Opis: Szczegóły dotyczące konfiguracji SCHANNEL zastosowane do maszyny, takie zebrane z rejestru.

   • SessionManager.txt

    Opis: Ustawienia specyficzne dla menedżera sesji zbierają się z rejestru.

   • SSL_00010002.txt

    Opis: Szczegóły dotyczące konfiguracji protokołu SSL zastosowanej do maszyny zebranej z rejestru.

 • EventLogs [Folder]

  • utc.evtx

   Opis: Eksportowanie dziennika zdarzeń DiagTrack

  • senseIR.evtx

   Opis: Eksportowanie dziennika zdarzeń zautomatyzowanego badania

  • sense.evtx

   Opis: Eksportowanie głównego dziennika zdarzeń czujnika

  • OperationsManager.evtx

   Opis: eksport dziennika zdarzeń agenta monitorowania Microsoft

Zobacz też