通过 WDS 环境应用 Windows Defender Offline

        上一篇文章“通过 WDS 环境应用 Windows Defender Offline - 上”，gOxiA 分享了如何制作 Windows Defender Offline 的 ISO 镜像，而今天这篇将开始我们的主题。在 WDS 环境下应用 Windows Defender Offline（以下简称：WDO），可以极大方便用户使用 WDO，通过企业网络 PXE 引导 WDO，比起 UFD 更安全也更高效。

        但是，当我们将 WDO 的启动 WIM 文件添加到 WDS Boot Image，在用户端引导 WDO 后会发现，无法正常执行扫描工作，因为 Virus and spyware definitions: Out of date，即病毒特征库过期。如此，在 WDO 启动的初始化界面实际上是在加载最新的病毒特征库。

        为了进行论证对 WDO 的 ISO 进行了分析，发现在 ISO 根目录中有一个名为 mpam-fex64.exe 文件，该文件就是最新的病毒特征库，那么接下来就要搞清楚 WDO 是如何调用这个病毒特征库的，首先要看看 Winpeshl.ini 是否定义了命令行，参考下图，确实调用了 Windows Defender 相关的执行命令，从文件名看是个专为 Offline 编写的命令，而且没有加参数，gOxiA 猜测对 mpam-fex64.exe 的调用是写在内部代码里的。

        既然是固化在内部代码中的，就要确定调用特征库的具体路径，以便为后续能在 WDS 中应用 WDO 奠定基础。为此使用了 Sysinternals 工具集中的 Strings 对 OfflineScannerShell.exe 进行了分析，果然不出所料，特征库名称是固定的，但是没能找到定义路径。

        重新分析 ISO 文件结构发现 mpam-fex64.exe 存储位置还包含一个 FilesList64.dll，从名字看貌似与遍历有关，难不成 WDO 是通过遍历目录寻找名为 mpam-fex64.exe 的文件，既然已经走到这一步，只能实验出结果，将 WDO 的

WIM 文件通过 DISM 命令 Mount 出来，然后直接将 FileList64.dll 和 mpam-fex64.exe 拷贝到 WDO 的 WIM 映像根目录中，保存更新添加到 WDS 启动映像，找台客户端开机 PXE 引导测试，通过！！！

        问题解决，以后只需要手工下载最新版的 mpam-fex64.exe 打包到 WDO 的 WIM 中即可。Windows Defender 的最新特征库可以从下面的官方网站下载到，不要忘记将下载的文件名改为 WDO 定义的名字。

Updating your Microsoft antimalware and antispyware software:

https://www.microsoft.com/security/portal/definitions/adl.aspx