WMI安全中心产品状态澄清

没有关于

productState

值的官方文档。我能找到的唯一信息是这篇文章，它根据值的逐字节分析对

productState

值的含义做出了假设。

对于其他人来说，我发现当转换为十六进制时，第三个字符非常可靠地指示是否启用了任何特定的防病毒产品。 （1 = 启用，0 = 禁用）

这是我编写的 PowerShell 语句，用于确定 Windows Defender 是否已启用。您可以替换该字符串以匹配您想要的任何防病毒产品。

Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct | ForEach-Object {if($($_.displayName) -eq "Windows Defender"){if("$($([Convert]::ToString($($_.productState), 16)).PadLeft(6,""0""))".Substring(2,1) -eq "1"){Write-Host "Windows Defender is Enabled"}else{Write-Host "Windows Defender is Disabled"}}}

我不能肯定地说每个防病毒产品都正确报告其产品状态，但我想所有主流产品都必须如此。我可以确认这也适用于 Symantec Endpoint Protection。

productState

值似乎是一个位集，除非通过与 Microsoft 签订 NDA，否则没有记录。应该可以映射随安装的产品返回的值及其状态。您可以安装单个 AV 产品，记录其状态，然后使其病毒定义过期，然后检查值如何变化。似乎有一组有限的典型值。

参考：https://bigfix.me/analysis/details/2998358

以下是我从 10000 多个端点的 34 种不同 AV 产品中找到的

productState

值，这些值可以帮助逆向工程其含义：

（十进制、十六进制、位集）

• 262144, 40000, 1000000000000000000
• 262160、40010、1000000000000010000
• 266240, 41000, 1000001000000000000
• 270336, 42000, 1000010000000000000
• 327680、50000、1010000000000000000
• 327696、50010、1010000000000010000
• 331776、51000、1010001000000000000
• 344064、54000、1010100000000000000
• 393216, 60000, 1100000000000000000
• 393232、60010、1100000000000010000
• 393472、60100、1100000000100000000
• 393488、60110、1100000000100010000
• 397312、61000、1100001000000000000
• 397328、61010、1100001000000010000
• 397568、61100、1100001000100000000
• 397584、61110、1100001000100010000
• 458752、70000、1110000000000000000
• 458768、70010、1110000000000010000
• 462848、71000、1110001000000000000
• 462864、71010、1110001000000010000

我的一位朋友进一步了解了此信息，并发现位组的第 3 位代表 AV 定义是否已过时。

• 位 3：AV 定义最新或过时
• 位 17：是否启用自动更新
• 位 12：实时访问扫描
• 位 16：防火墙
• 位 19：反间谍软件

请参阅此处：https://www.bigfix.me/analysis/details/2998101?force=true