有关 AMSI 阻止测试的详细说明，请参阅 KB59742-如何将 EICAR 测试文件与我们的产品配合使用。
要在 Windows Defender 中执行 AMSI 块测试，请执行以下操作：

1. 打开 PowerShell 并输入 : AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386 。
2. 有关详细信息，请查看 Windows Defender 按访问扫描日志。
   检测 Win32/Mptest!amsi 项（Microsoft 检测名称）会在此字符串上触发，并会在日志中报告。

AMSI 结果值
反恶意软件提供程序可以返回1到32767之间的结果，这是一个估计的风险级别。结果越大，riskier 将继续与内容进行比较。
这些值是特定于提供程序的，可能表示恶意软件系列或 ID。任何低于或大于32768的结果均视为恶意软件，并阻止内容。
应用程序应使用 AmsiResultIsMalware 来确定此值。
因此，请使用字符串 32768 搜索 ENS 日志以突出显示可能的 AMSI 块。

恶意软件扫描接口（AMSI）生成的事件的可见性可能会受到限制。
以下步骤提供了 AMSI 日志记录机制：

1. 打开管理员 CLI 会话
2. 启动在以下位置 c:\temp\ 记录 AMSI 事件：
   运行： logman start AMSITrace -p Microsoft-Antimalware-Scan-Interface Event1 -o c:\temp\amsi.etl –ets
   
3. 要停止记录 AMSI 事件，请执行以下操作：
   运行： logman stop AMSITrace –ets
   
4. 要阅读 .etl run 以下内容：
   powershell "Get-WinEvent -Path c:\temp\amsi.etl -Oldest | Format-List *"
   
5. 或：
   1. 打开 Windows 事件查看器 (eventvwr.msc) 。
   2. 右键单击事件查看器（本地）。
   3. 打开保存的日志：浏览到 c:\temp\ 所生成的，然后选择生成的 etl file previously 。
   4. 同意转换到 .evtx ，单击 详细信息 选项卡，然后在加载 XML 后进行查看。
      
      在以下位置找到已注册的提供程序 Id：
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AMSI\Providers\
      HKLM\SW\Classes\CLSID\
      Microsoft Windows Defender = {2781761E-28E0-4109-99FE-B9D127C57AFE}
      McAfee ENS = {436D0575-3FCC-49C2-9E9C-5772A341E1D5}
      Carbon Black = {009DDD00-35E7-4664-AFB3-732D5C459754}
      Microsoft AMSI = {2a576b87-09a7-520e-c21a-4942f0271d67}

用于测试 WScript AMSI 注入的脚本：

1. 打开记事本。
2. 将以下文本粘贴到记事本中：
   i=10
   If i=10 Then
   msgbox("TEST, Click OK to close")
   Else
   Msgbox "Hello world"
   End if
   
3. 保存为 c:\temp\test.vbs 。
4. 打开命令。行会话，键入 wscript test.vbs 并按 Enter。