Pour un test de bloc AMSI, voir
KB59742 - Comment utiliser le fichier de test EICAR avec nos produits.
Pour effectuer un test de bloc AMSI dans Windows Defender :
- Ouvrez PowerShell et entrez AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386.
- Consultez le journal d'analyse à l'accès de Windows Defender pour plus de détails.
La détection Win32/Mptest!amsi (nom de la détection Microsoft) se déclenche sur cette chaîne et est signalée dans les journaux.
Valeurs de résultat AMSI
Le fournisseur de logiciels anti-programme malveillant peut renvoyer un résultat compris entre 1 et 32 767, inclus, comme niveau de risque estimé. Plus le résultat est grand, plus il est risqué de continuer avec le contenu.
Ces valeurs sont spécifiques au fournisseur et peuvent indiquer une famille ou un ID de logiciel malveillant. Tout résultat total égal ou supérieur à 32768 est considéré comme un logiciel malveillant et le contenu est bloqué.
Une application doit utiliser
AmsiResultIsMalware pour déterminer cette valeur.
AMSI_RESULT_CLEAN = 0
AMSI_RESULT_NOT_DETECTED = 1
AMSI_RESULT_BLOCKED_BY_ADMIN_START = 16384
AMSI_RESULT_BLOCKED_BY_ADMIN_END = 20479
AMSI_RESULT_DETECTED = 32768
Recherchez donc les journaux ENS en utilisant la chaîne
32768 pour mettre en évidence les blocs AMSI possibles.
La visibilité des événements générés par l'Antimalware Scan Interface (AMSI) peut être limitée.
Les étapes suivantes fournissent un mécanisme de journalisation AMSI :
- Ouvrir une session CLI administrateur
- Démarrer la journalisation des événements AMSI dans c:\temp\ :
Exécuter : logman start AMSITrace -p Microsoft-Antimalware-Scan-Interface Event1 -o c:\temp\amsi.etl –ets
- Pour arrêter la journalisation des événements AMSI :
Exécuter : logman stop AMSITrace –ets
- Pour lire les .etl run:
powershell "Get-WinEvent -Path c:\temp\amsi.etl -Oldest | Format-List *"
- Alternativement, vous pouvez faire ce qui suit :
- Ouvrez l'Observateur d'événements Windows (eventvwr.msc).
- Cliquez avec le bouton droit sur Observateur d'événements (local).
- Ouvrez le journal enregistré : accédez à c:\temp\ et sélectionnez le etl file previously généré.
- Acceptez la conversion en .evtx, cliquez sur l'onglet Détails et affichez le XML après son chargement.
Les identifiants de fournisseur enregistrés se trouvent sous :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AMSI\Providers\
HKLM\SW\Classes\CLSID\
Microsoft Windows Defender = {2781761E-28E0-4109-99FE-B9D127C57AFE}
McAfee ENS = {436D0575-3FCC-49C2-9E9C-5772A341E1D5}
Carbon Black = {009DDD00-35E7-4664-AFB3-732D5C459754}
Microsoft AMSI = {2a576b87-09a7-520e-c21a-4942f0271d67}
Script à tester
WScript Injection AMSI :
- Ouvrez le Bloc-notes.
- Collez le texte suivant dans le Bloc-notes :
i=10
If i=10 Then
msgbox("TEST, Click OK to close")
Else
Msgbox "Hello world"
End if
- Enregistrer sous c:\temp\test.vbs.
- Ouvrez une session de ligne de commande, tapez wscript test.vbs et appuyez sur Entrée.