[기타] 윈도우 보안 센터에 등록된 백신 조회 방법 (WMI쿼리)
-
개요
- 윈도우 보안 센터에 등록된 보안 제품 정보에 대해 WMI 쿼리 통해 조회하는 방법 안내
-
시나리오
1) 현상
- 백신이 정상 설치 및 최신 엔진 업데이트까지 되어 있으나, 내PC지키미에서 '악성코드 백신의 최신 보안 패치 점검' 항목이 취약으로 표시 되는 경우
2) 예상 원인
- 윈도우 보안 센터에서 백신 정보가 정상적으로 등록되지 않았거나, 잘못된 값이 남아있는 경우 발생 가능
-
WMI 조회 및 조치
- WMI 쿼리를 통해 등록된 백신 정보 조회 및 조치 방법 안내
[요약]1. 관리자권한으로 cmd창 실행.
2. wbemtest 실행
3. 네임스페이스 연결 : root\SecurityCenter2
4. 쿼리 : select * from antivirusproduct
5. 쿼리 결과 나온 Item을 더블 클릭
6. MOF 보기를 눌러서 나온 내용 확인.
7. 불필요한 값 삭제
[무작정 따라하기]
1) 관리자 권한으로 명령 프롬프트 실행 (CMD 실행)
2) 명령 프롬프트 창에서 wbemtest 실행
3) WMI 실행 및 연결 버튼 실행
4) '연결' 창에서 네임스페이스 값으로 root\SecurityCenter2 입력 후 연결 버튼 실행
5) 아래 그램과 같이 IWbemServices 항목들이 활성화 되며, 쿼리 버튼 실행하여 쿼리 입력창 확인
6) 쿼리문 입력 후 적용 실행
쿼리문 : select * from antivirusproduct
7) 쿼리 결과에서 표시된 개체들 확인
※ Win 10 환경에서 백신이 1개 설치되어 있을 경우, 2개의 개체가 보여집니다.
하나는 설치한 백신이며, 다른 개체는 Windows Defender 의 개체 정보입니다.
※ 간혹 3개의 개체 값이 보여지며, 이와 같은 경우 2개의 개체가 동일 제품 값일 경우 그 중 1개의 개체 값은 유효하지 않은 값입니다.
8) 개체값 더블 클릭하여 아래와 같이 상세 정보창 확인
9) MOF 보기 실행하여 개체에 대한 상세 정보창 확인
10) MOF 값을 통해 유효한 값인지 확인
- displayName : 설치된 제품 정보
- timestamp : 윈도우 보안 센터에 마지막으로 업데이트 된 시점
※ timestamp 값이 과거일 경우 (최소 2일 이상) 유효하지 않은 값일 가능성이 높습니다.
11) 쿼리 결과 창에서 유효하지 않은 개체 값 삭제
- 삭제 버튼 클릭 시 확인 없이 바로 삭제됩니다.
- 실수로 개체값을 삭제하더라도, 백신 제품이 설치되어 있는 경우 PC 재부팅 혹은 윈도우 보안 센터 점검 주기에 따라 원복 됩니다.
12) 유효하지 않은 개체 값 삭제 후 내PC지키미 점검 시 '악성코드 백신의 최신 보안 패치 점검' 항목이 안전으로 변경되는지 확인
끝.