Per un test del blocco AMSI, vedere
KB59742 - How to use the EICAR test file with our products.
Per eseguire un test di blocco AMSI in Windows Defender:
- Apri PowerShell e inserisci AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386.
- Controlla il registro della scansione all'accesso di Windows Defender per i dettagli.
Il rilevamento Win32/Mptest!amsi (nome del rilevamento Microsoft) si attiva su questa stringa e viene riportato nei log.
Valori dei risultati AMSI
Il provider antimalware può restituire un risultato compreso tra 1 e 32767 inclusi, come livello di rischio stimato. Più grande è il risultato, più rischioso è continuare con il contenuto.
Questi valori sono specifici del provider e potrebbero indicare una famiglia o un ID di malware. Qualsiasi risultato totale uguale o superiore a 32768 viene considerato malware e il contenuto bloccato.
Un'applicazione deve utilizzare
AmsiResultIsMalware per determinare questo valore.
AMSI_RESULT_CLEAN = 0
AMSI_RESULT_NOT_DETECTED = 1
AMSI_RESULT_BLOCKED_BY_ADMIN_START = 16384
AMSI_RESULT_BLOCKED_BY_ADMIN_END = 20479
AMSI_RESULT_DETECTED = 32768
Quindi cerca nei log ENS usando la stringa
32768 per evidenziare possibili blocchi AMSI.
La visibilità degli eventi generati da Antimalware Scan Interface (AMSI) può essere limitata.
I passaggi seguenti forniscono un meccanismo di registrazione AMSI:
- Apri una sessione CLI dell'amministratore
- Inizia a registrare gli eventi AMSI in c:\temp\:
Esegui: logman start AMSITrace -p Microsoft-Antimalware-Scan-Interface Event1 -o c:\temp\amsi.etl –ets
- Per interrompere la registrazione degli eventi AMSI:
Esegui: logman stop AMSITrace –ets
- Per leggere il .etl run:
powershell "Get-WinEvent -Path c:\temp\amsi.etl -Oldest | Format-List *"
- In alternativa, puoi fare quanto segue:
- Apri il Visualizzatore eventi di Windows (eventvwr.msc).
- Fare clic con il pulsante destro del mouse su Visualizzatore eventi (locale).
- Apri il registro salvato: vai a c:\temp\ e seleziona il etl file previously generato.
- Accetta la conversione in .evtx, fai clic sulla scheda Dettagli e visualizza l'XML dopo che è stato caricato.
Gli ID dei fornitori registrati si trovano in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AMSI\Providers\
HKLM\SW\Classes\CLSID\
Microsoft Windows Defender = {2781761E-28E0-4109-99FE-B9D127C57AFE}
McAfee ENS = {436D0575-3FCC-49C2-9E9C-5772A341E1D5}
Carbon Black = {009DDD00-35E7-4664-AFB3-732D5C459754}
Microsoft AMSI = {2a576b87-09a7-520e-c21a-4942f0271d67}
Script da testare
WScript AMSI injection:
- Apri Blocco note.
- Incolla il seguente testo in Blocco note:
i=10
If i=10 Then
msgbox("TEST, Click OK to close")
Else
Msgbox "Hello world"
End if
- Salva come c:\temp\test.vbs.
- Apri una sessione della riga di comando, digita wscript test.vbs e premi Invio.