Para una prueba de bloque AMSI, consulte
KB59742 - Cómo usar el archivo de prueba EICAR con nuestros productos.
Para realizar una prueba de bloqueo AMSI en Windows Defender:
- Abra PowerShell e ingrese AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386.
- Consulte el registro de análisis en acceso de Windows Defender para obtener más información.
La detección Win32/Mptest!amsi (nombre de detección de Microsoft) se activa en esta cadena y se informa en los registros.
Valores de resultado de AMSI
El proveedor de antimalware puede devolver un resultado entre 1 y 32767, inclusive, como un nivel de riesgo estimado. Cuanto mayor sea el resultado, más arriesgado continuar con el contenido.
Estos valores son específicos del proveedor y pueden indicar una familia o ID de malware. Cualquier resultado total igual o superior a 32768 se considera malware y el contenido se bloquea.
Una aplicación debe usar
AmsiResultIsMalware para determinar este valor.
AMSI_RESULT_CLEAN = 0
AMSI_RESULT_NOT_DETECTED = 1
AMSI_RESULT_BLOCKED_BY_ADMIN_START = 16384
AMSI_RESULT_BLOCKED_BY_ADMIN_END = 20479
AMSI_RESULT_DETECTED = 32768
Así que busque los registros de ENS usando la cadena
32768 para resaltar posibles bloques AMSI.
La visibilidad de los eventos generados por la interfaz de exploración antimalware (AMSI) puede ser limitada.
Los siguientes pasos proporcionan un mecanismo de registro AMSI:
- Abra una sesión CLI de administrador
- Comience a registrar eventos AMSI en c:\temp\:
Ejecutar: logman start AMSITrace -p Microsoft-Antimalware-Scan-Interface Event1 -o c:\temp\amsi.etl –ets
- Para detener el registro de eventos AMSI:
Ejecutar: logman stop AMSITrace –ets
- Para leer el .etl run:
powershell "Get-WinEvent -Path c:\temp\amsi.etl -Oldest | Format-List *"
- Alternativamente, puede hacer lo siguiente:
- Abra el visor de eventos de Windows (eventvwr.msc).
- Haga clic con el botón derecho en Visor de eventos (local).
- Abra el registro guardado: busque c:\temp\ y seleccione el etl file previously generado.
- Acepte la conversión a .evtx, haga clic en la pestaña Detalles y vea el XML después de cargarlo.
Los ID de proveedores registrados se encuentran en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AMSI\Providers\
HKLM\SW\Classes\CLSID\
Microsoft Windows Defender = {2781761E-28E0-4109-99FE-B9D127C57AFE}
McAfee ENS = {436D0575-3FCC-49C2-9E9C-5772A341E1D5}
Carbon Black = {009DDD00-35E7-4664-AFB3-732D5C459754}
Microsoft AMSI = {2a576b87-09a7-520e-c21a-4942f0271d67}
Script para probar
WScript Inyección AMSI:
- Abra el Bloc de notas.
- Pegue el siguiente texto en el Bloc de notas:
i=10
If i=10 Then
msgbox("TEST, Click OK to close")
Else
Msgbox "Hello world"
End if
- Guardar como c:\temp\test.vbs.
- Abra una sesión de línea de comandos, escriba wscript test.vbs y presione Entrar.