Offline-Modus beim Defender

Andreas Berger · Beitrag von **Andreas Berger** » 18.02.2023, 16:45

Bedeutet es, wenn man Microsoft Defender Offline ausführt, dass man dann keine Internetverbindung hat? Welche Vorteile bietet das?

Beitrag von **Tante Google** » 18.02.2023, 16:45

moinmoin · Beitrag von **moinmoin** » 18.02.2023, 16:50

Das bedeutet, dass dein Rechner neu startet und der Scan erst durchgeführt wird, bevor Windows wieder startet.

Andreas Berger · Beitrag von **Andreas Berger** » 18.02.2023, 16:57

Mich verwirrt "Offline", also bleibt die Internetverbindung erhalten. Aber welche Vorteile hat das gegenüber einem vollständigen Scan?

moinmoin · Beitrag von **moinmoin** » 18.02.2023, 16:59

Offline, weil Windows nicht gestartet ist und somit alles korrekt gescannt werden kann.
Das ist wie beim Inplace Upgrade, wenn du Fehler hast. Die werden dann auch "offline" repariert. Weil Windows gar nicht läuft.

DK2000 · Beitrag von **DK2000** » 18.02.2023, 16:59

Mit Online/Offline bezeichnet Microsoft auch, ob Windows läuft (=Online) oder nicht läuft (=Offline).

In dem Falle führt der Defender einen Scan aus, bei welchem Windows nicht läuft, also offline ist. Vorteil hier ist, dass auch gesperrte Dateien (= exklusive geöffnete Dateien) gescannt werden können.

Andreas Berger · Beitrag von **Andreas Berger** » 18.02.2023, 17:05

Und wieder ein bisschen schlauer, danke.

BBQ2023 · Beitrag von **BBQ2023** » 19.02.2023, 00:43

Ja, aber richtig im Grunde die Frage dieselbige man noch einmal nachlesen sollte ( Yoda-Slang ) :

Kein Windows mit Benutzeroberfläche usw. = keine Inetverbindung, oder ?

DK2000 · Beitrag von **DK2000** » 19.02.2023, 10:09

Könnte man so interpretieren, aber passt ja dann immer noch nicht, weil wenn Windows ohne Netzwerk läuft, ist es zwar offline, was die Netzwerkverbindung angeht, aber online, was den Betriebszustand angeht (es wurde gestartet und läuft). Das ist halt etwas verwirrend. Mit Offline-Scan oder Offline-Servicing meint Microsoft also nicht, ob eine Verbindung zu einem Netzwerk oder zum Internet besteht, sondern nur, dass Windows nicht gestartet wurde.

ticket · Beitrag von **ticket** » 19.02.2023, 11:14

Ich spekuliere einfach mal nach meinen Eindrücken mit Windows 10.
Eine normale Windows-Installation mit den 4 Partitionen ist im Grunde schon eine Dualboot-Installation.
Mit shutdown /o /r beendest du das normale Windows. Der Rechner startet mit dem Recovery-Envirement WinRE als Betriebssystem.
Das normale Windows liegt dann passiv auf deinem Laufwerk C und kann von einem Offline-Defender auf Schadcode gescannt werden.
Danach startet das normale Windows wieder neu, und kann, wenn nicht schon vorher geschehen, wiederrum die WinRE-Partition scannen.

Es ist Schadcode vorstellbar, der aber registriert, falls der Befehl shutdown /o /r ausgeführt wird.
In diesem Fall kopiert sich per Ausschneiden und Einfügen diese Schadsoftware ('Bitte warten') von Partition Laufwerk C
in Partition WinRE und bleibt so auch für den Offline-Defender unsichtbar.
Und wenn du WinRE beendest das Ganze wieder zurück.

Ein weiteres Problem ist die erste, fat32formatierten System- oder efi-Partition.
Es ist vorstellbar, daß sich schon hier Schadcode wie z.B. ein Staatstrojaner beim Systemstart einklingt.

Jetzt könnte man meinen, ok mit dem Befehl:

bcdboot C:\Windows /s S:

könnte man man diese, temporär mit dem Buchstaben S gelabelte System- oder efi-Partition, ja neu setzen,
aber auch dies könnte die Schadsoftware registrieren und ähnlich wie bei shutdown /o /r reagieren.
Bei Multibootsystem gibt es dann ggf. aber auch noch andere Probleme.

Dann würde da auch noch eine 'Windows95-ISO' (klar, mit ntfs-extension) komplett in die 16MB-Microsoft-Partition passen.

Mit TPM2.0 verschiebt sich das dann aufs Mainboard, wo mittlerweile ja auch schon ausreichend Platz für Schadcode ist.