たれながし.info

とあるITエンジニアの備忘録

Microsoft Defender ウイルス対策のバージョンを確認する

Windows


はじめに

マイクロソフトの資料を見ていてたら「このサイバー攻撃にはDefenderのこのバージョンから検知することが可能です。」と記載があったので、Defenderのエンジンとシグネチャのバージョンはどうやって確認するんだ?と思って調べてみました。

すぐにでも確認したいという方は、PowerShellで『Get-MpComputerStatus | Select-Object *Version』を実行してください。

GUIで確認する方法

GUIで確認する方法です。

設定からWindowsセキュリティを開く

Windowsセキュリティの設定を開く

バージョン情報を選択

システム情報から確認する

<参考>
Windows セキュリティによる保護を利用します

コマンドで確認する方法

コマンドで確認する場合、PowerShellの「Get-MpComputerStatus」で確認できます。

表示結果を絞った場合
「| Select-Object *Version」で表示結果を絞った方が見やすいです。

> Get-MpComputerStatus | Select-Object *Version

AMEngineVersion             : 1.1.18100.6
AMProductVersion            : 4.18.2104.14
AMServiceVersion            : 4.18.2104.14
AntispywareSignatureVersion : 1.339.1609.0
AntivirusSignatureVersion   : 1.339.1609.0
NISEngineVersion            : 1.1.18100.6
NISSignatureVersion         : 1.339.1609.0

※AMは「マルウェア対策:AntiMalware」、NISは「ネットワーク検査システム:Network Inspection System」の略

表示結果を絞らない場合
表示結果を絞らない場合、Defender関連の色々な情報が見られます。
取得できる情報はMicrosoftのサイトに(一応)説明があります。
MSFT\_MpComputerStatus class | Microsoft Docs

> Get-MpComputerStatus

AMEngineVersion                 : 1.1.17700.4
AMProductVersion                : 4.18.2011.6
AMRunningMode                   : Normal
AMServiceEnabled                : True
AMServiceVersion                : 4.18.2011.6
AntispywareEnabled              : True
AntispywareSignatureAge         : 0
AntispywareSignatureLastUpdated : 2020/12/11 18:09:26
AntispywareSignatureVersion     : 1.329.219.0
AntivirusEnabled                : True
AntivirusSignatureAge           : 0
AntivirusSignatureLastUpdated   : 2020/12/11 18:09:26
AntivirusSignatureVersion       : 1.329.219.0
BehaviorMonitorEnabled          : True
ComputerID                      : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
ComputerState                   : 0
FullScanAge                     : 4294967295
FullScanEndTime                 :
FullScanStartTime               :
IoavProtectionEnabled           : True
IsTamperProtected               : True
IsVirtualMachine                : False
LastFullScanSource              : 0
LastQuickScanSource             : 2
NISEnabled                      : True
NISEngineVersion                : 1.1.17700.4
NISSignatureAge                 : 0
NISSignatureLastUpdated         : 2020/12/11 18:09:26
NISSignatureVersion             : 1.329.219.0
OnAccessProtectionEnabled       : True
QuickScanAge                    : 1
QuickScanEndTime                : 2020/12/10 5:01:50
QuickScanStartTime              : 2020/12/10 5:00:18
RealTimeProtectionEnabled       : True
RealTimeScanDirection           : 0
PSComputerName                  :

おまけ:Defender AV関連のファイルを調べてみる

Defender ウイルス対策関連のファイルを色々探ってみます。

Defender AVサービス

Defender AVのサービスは表示名「Windows Defender Antivirus Service」、サービス名「WinDefend」


マルウェア対策クライアント

マルウェア対策クライアント(MsMpEng.exe)について

  • 上記サービスから実行される
  • 名前は「マルウェア対策クライアント」、英語だと「Antimalware Client」
  • MsMpEngは「Microsoft Malware Protection Engine」の略
  • 保存パスは「C:\ProgramData\Microsoft\Windows Defender\Platform\{バージョン名}」

プロパティにバージョン名の記載があります。

エンジン、シグネチャ

  • 保存パスは「C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{GUID}」
  • 「mpengine.dll」がエンジン本体
  • 拡張子vdmのファイルがシグネチャ ※av=アンチウイルス、as=アンチスパム
    baseが基本で、deltaが差分と思われる
  • 「MsMpEng.exe」と同様にプロパティにバージョン名の記載がある


イベントログ


宣伝

Defender AVのシグネチャを覗こうと奮闘した軌跡をこちらに書いてるので、良ければ見てくだせい。
tarenagashi.hatenablog.jp