はじめに
マイクロソフトの資料を見ていてたら「このサイバー攻撃にはDefenderのこのバージョンから検知することが可能です。」と記載があったので、Defenderのエンジンとシグネチャのバージョンはどうやって確認するんだ?と思って調べてみました。
すぐにでも確認したいという方は、PowerShellで『Get-MpComputerStatus | Select-Object *Version』を実行してください。
コマンドで確認する方法
コマンドで確認する場合、PowerShellの「Get-MpComputerStatus」で確認できます。
表示結果を絞った場合
「| Select-Object *Version」で表示結果を絞った方が見やすいです。
> Get-MpComputerStatus | Select-Object *Version AMEngineVersion : 1.1.18100.6 AMProductVersion : 4.18.2104.14 AMServiceVersion : 4.18.2104.14 AntispywareSignatureVersion : 1.339.1609.0 AntivirusSignatureVersion : 1.339.1609.0 NISEngineVersion : 1.1.18100.6 NISSignatureVersion : 1.339.1609.0
※AMは「マルウェア対策:AntiMalware」、NISは「ネットワーク検査システム:Network Inspection System」の略
表示結果を絞らない場合
表示結果を絞らない場合、Defender関連の色々な情報が見られます。
取得できる情報はMicrosoftのサイトに(一応)説明があります。
→MSFT\_MpComputerStatus class | Microsoft Docs
> Get-MpComputerStatus AMEngineVersion : 1.1.17700.4 AMProductVersion : 4.18.2011.6 AMRunningMode : Normal AMServiceEnabled : True AMServiceVersion : 4.18.2011.6 AntispywareEnabled : True AntispywareSignatureAge : 0 AntispywareSignatureLastUpdated : 2020/12/11 18:09:26 AntispywareSignatureVersion : 1.329.219.0 AntivirusEnabled : True AntivirusSignatureAge : 0 AntivirusSignatureLastUpdated : 2020/12/11 18:09:26 AntivirusSignatureVersion : 1.329.219.0 BehaviorMonitorEnabled : True ComputerID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx ComputerState : 0 FullScanAge : 4294967295 FullScanEndTime : FullScanStartTime : IoavProtectionEnabled : True IsTamperProtected : True IsVirtualMachine : False LastFullScanSource : 0 LastQuickScanSource : 2 NISEnabled : True NISEngineVersion : 1.1.17700.4 NISSignatureAge : 0 NISSignatureLastUpdated : 2020/12/11 18:09:26 NISSignatureVersion : 1.329.219.0 OnAccessProtectionEnabled : True QuickScanAge : 1 QuickScanEndTime : 2020/12/10 5:01:50 QuickScanStartTime : 2020/12/10 5:00:18 RealTimeProtectionEnabled : True RealTimeScanDirection : 0 PSComputerName :
おまけ:Defender AV関連のファイルを調べてみる
Defender ウイルス対策関連のファイルを色々探ってみます。
マルウェア対策クライアント
マルウェア対策クライアント(MsMpEng.exe)について
- 上記サービスから実行される
- 名前は「マルウェア対策クライアント」、英語だと「Antimalware Client」
- MsMpEngは「Microsoft Malware Protection Engine」の略
- 保存パスは「C:\ProgramData\Microsoft\Windows Defender\Platform\{バージョン名}」
プロパティにバージョン名の記載があります。
エンジン、シグネチャ
- 保存パスは「C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{GUID}」
- 「mpengine.dll」がエンジン本体
- 拡張子vdmのファイルがシグネチャ ※av=アンチウイルス、as=アンチスパム
baseが基本で、deltaが差分と思われる - 「MsMpEng.exe」と同様にプロパティにバージョン名の記載がある
イベントログ
- 保存パス:[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [Windows Defender]
- イベントID一覧:Microsoft Defender ウイルス対策イベントの ID とエラー コード | Microsoft Docs
宣伝
Defender AVのシグネチャを覗こうと奮闘した軌跡をこちらに書いてるので、良ければ見てくだせい。
tarenagashi.hatenablog.jp