① Antimalware Service Executable是什么：它是Windows Defender防病毒软件的后台进程（MsMpEng.exe），负责实时监控、定期扫描和威胁隔离，是Windows系统内置的安全组件。

② 占内存高的原因：实时保护扫描大文件、定期全盘扫描、开发环境目录频繁变化、算法引擎自我扫描等都会导致内存和CPU占用升高。

③ Antimalware Service Executable能关否：可以关闭实时保护来降低占用，但强烈建议安装第三方杀毒软件后再操作，否则系统将面临安全风险。

④ Win11占内存特殊处理：Win11下可通过添加排除项、设置计划扫描时间、PowerShell限制CPU负载等方式优化。

⑤ 搜索占用内存高的解决：通过添加文件夹排除项、文件类型排除项、进程排除项三种方式可有效降低内存占用。

一、Antimalware Service Executable是什么

Antimalware Service Executable（进程名为MsMpEng.exe）是Windows操作系统中Windows Defender防病毒软件的核心安全组件。它运行在后台，负责持续监控系统安全状态。当用户在任务管理器中发现该进程占用大量内存或CPU时，实际上是Windows Defender正在执行安全扫描任务。

1.1 主要功能介绍

✅ 实时监控：持续扫描系统中的文件、程序和进程，当用户打开、下载或运行文件时自动检测潜在威胁。

✅ 定期扫描：按计划对整个系统进行全面安全检查，包括快速扫描、完全扫描和自定义扫描。

✅ 威胁隔离：发现恶意软件时立即隔离或删除相关文件，防止威胁扩散。

✅ 自动更新：保持病毒库和防护引擎的最新状态，确保能够识别最新的威胁。

1.2 为什么它会占用大量内存

Antimalware Service Executable占内存高的核心原因在于其实时扫描机制。当系统中存在大量文件操作（如开发环境编译、大文件解压、游戏运行等），Defender会对每个文件进行扫描检查，这会消耗大量的内存和CPU资源。此外，定期全盘扫描也会在后台静默运行，导致内存占用突然升高。在Win11系统中，由于安全策略更为严格，该进程的资源占用可能更为明显。

二、Antimalware Service Executable占内存高的解决方案

2.1 方法一：win10添加文件夹排除项

通过将确认安全的文件夹添加到排除列表，Windows Defender将跳过对这些路径的扫描，从而显著降低内存占用。

步骤一：「win+i」打开「设置」→「更新和安全」→「Windows 安全中心」→「病毒和威胁防护」。

步骤二：在「病毒和威胁防护设置」下，点击「管理设置」。

步骤三：滚动至底部找到「排除项」，点击「添加或删除排除项」。

步骤四：选择「文件夹」，浏览并选中确认安全的路径（如D:\Projects、C:\VMs等）。

⚠️ 注意：请勿排除系统目录（C:\Windows、C:\Program Files）或下载文件夹，否则会降低系统安全性。

2.2 方法二：添加文件类型排除项

如果某些特定类型的文件频繁触发扫描，可以将该文件扩展名添加到排除列表。例如，开发者可以排除.log、.tmp、.cache等临时文件类型，避免对这些无害文件的反复扫描。

操作路径：「病毒和威胁防护」→「管理设置」→「排除项」→「添加排除项」→「文件类型」→选择「文件扩展名」。

2.3 方法三：添加进程排除项

将已知安全的进程添加到排除列表，Defender将不再扫描这些进程的文件操作。特别是将MsMpEng.exe自身加入排除列表，可以防止Windows Defender对其执行自我扫描，消除因服务自检引发的资源循环占用现象。

操作路径：「排除项」→「添加排除项」→选择「进程」→输入MsMpEng.exe。

2.4 方法四：设置计划扫描时间

将Windows Defender的定期扫描设置在系统空闲时段执行，避免在工作时占用资源。可以通过任务计划程序修改Windows Defender Scheduled Scan的触发时间，将其设置在午夜或工作时间之外。

步骤：搜索并打开「任务计划程序」→导航到「任务计划程序库」→「Microsoft」→「Windows」→「Windows Defender」→「Windows Defender Scheduled Scan」→右键「属性」→「触发器」，修改触发器时间。

2.5 方法五：关闭程序自启动

前面说了Antimalware Service Executable（是Windows操作系统中Windows Defender防病毒软件的核心安全组件。如果Windows Defender开机自启对于电脑内存占用过高，或导致cpu瞬间占用过大，我们可以通过管理电脑自启动项进行管控，金舟Uninstaller卸载工具除了支持强力卸载流氓软件，可以一键管理开机自启动。

Step1、访问软件的官方下载地址，安装并运行软件后，点击上方的“自启动项”。

Step2、找到“Windows Defender”软件，将软件自启动的按钮关闭。后续有需要可以再次打开或通过Windows设置手动进入Windows Defender安全防护中心。

三、Antimalware Service Executable可以关闭吗

这是许多用户最关心的问题。答案是：可以关闭，但需要谨慎操作。

3.1 关闭实时保护（推荐方式）

这是最安全的方式，只是暂时禁用实时监控，保留了病毒库更新和手动扫描功能。

操作路径：「开始」→「设置」→「隐私和安全」→「Windows 安全性」→「病毒和威胁防护」→「管理设置」→关闭「实时保护」开关。

3.2 通过PowerShell禁用实时监控

以管理员身份打开PowerShell，执行以下命令：

Set-MpPreference -DisableRealtimeMonitoring $true

要恢复实时监控，执行：

Set-MpPreference -DisableRealtimeMonitoring $false

3.3 通过注册表彻底禁用（不推荐）

⚠️ 警告：此方法会彻底关闭Windows Defender，仅建议在已安装第三方杀毒软件的情况下使用。

步骤一：Win+R打开运行，输入regedit打开注册表编辑器。

步骤二：导航到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender。

步骤三：如果没有Windows Defender键，右键「Microsoft」→「新建」→「项」，命名为Windows Defender。

步骤四：在Windows Defender下新建DWORD值DisableAntiSpyware，设置为1。

步骤五：重启计算机生效。

四、Win11下Antimalware Service Executable占内存特殊处理

Windows 11的安全策略比Windows 10更为严格，Antimalware Service Executable在Win11下的资源占用可能更为明显。以下是针对Win11的专属优化方案。

4.1 使用PowerShell限制CPU负载

通过PowerShell命令限制Windows Defender扫描时的CPU占用比例，可以有效降低内存占用：

Set-MpPreference -ScanAvgCPULoadFactor 15

以上命令将扫描时的CPU占用限制在15%（默认值约为50%），可根据实际情况调整。

4.2 关闭基于云的保护

Win11默认开启了基于云端的实时保护，这会持续向微软服务器发送和接收数据，增加资源占用。关闭方法：

操作：「Windows 安全性」→「病毒和威胁防护」→「管理设置」→关闭「交付优化」和「基于云的保护」。

五、解决方案对比表

六、常见问题FAQ

七、总结

Antimalware Service Executable（MsMpEng.exe）是Windows系统内置安全组件的核心进程，其占内存高的问题主要源于实时扫描机制。用户应根据自身情况选择合适的解决方案：普通用户优先使用排除项和计划扫描设置；开发者和高级用户可结合PowerShell命令优化；已安装第三方杀毒软件的用户可考虑关闭实时保护自启动。无论采用哪种方式，都应确保系统具备基本的安全防护能力，避免因关闭安全软件而感染病毒。