有关 AMSI 阻止测试的详细说明,请参阅
KB59742-如何将 EICAR 测试文件与我们的产品配合使用。
要在 Windows Defender 中执行 AMSI 块测试,请执行以下操作:
- 打开 PowerShell 并输入 AMSI Test Sample: 7e72c3ce-861b-4339-8740-0ac1484c1386 。
- 有关详细信息,请查看 Windows Defender 按访问扫描日志。
检测 Win32/Mptest!amsi (Microsoft 检测名称)在此字符串上触发并在日志中报告。
AMSI 结果值
反恶意软件提供程序可以返回1到32767之间的结果,这是一个估计的风险级别。结果越大,riskier 将继续与内容进行比较。
这些值是特定于提供程序的,可能表示恶意软件系列或 ID。任何低于或大于32768的结果均视为恶意软件,并阻止内容。
应用程序应使用
AmsiResultIsMalware 来确定该值。
AMSI_RESULT_CLEAN = 0
AMSI_RESULT_NOT_DETECTED = 1
AMSI_RESULT_BLOCKED_BY_ADMIN_START = 16384
AMSI_RESULT_BLOCKED_BY_ADMIN_END = 20479
AMSI_RESULT_DETECTED = 32768
因此,请使用字符串
32768 搜索 ENS 日志以突出显示可能的 AMSI 块。
恶意软件扫描接口(AMSI)生成的事件的可见性可能会受到限制。
以下步骤提供了 AMSI 日志记录机制:
- 打开管理员 CLI 会话
- 启动在以下位置 c:\temp\ 记录 AMSI 事件:
运行: logman start AMSITrace -p Microsoft-Antimalware-Scan-Interface Event1 -o c:\temp\amsi.etl –ets
- 要停止记录 AMSI 事件,请执行以下操作:
运行: logman stop AMSITrace –ets
- 要阅读 .etl run 以下内容:
powershell "Get-WinEvent -Path c:\temp\amsi.etl -Oldest | Format-List *"
- 或者,您可以执行以下操作:
- 打开 Windows 事件查看器 (eventvwr.msc) 。
- 右键单击事件查看器(本地)。
- 打开保存的日志:浏览到 c:\temp\ 所生成的,然后选择生成的 etl file previously 。
- 同意转换到 .evtx ,单击 详细信息 选项卡,然后在加载 XML 后进行查看。
在以下位置找到已注册的提供程序 Id:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AMSI\Providers\
HKLM\SW\Classes\CLSID\
Microsoft Windows Defender = {2781761E-28E0-4109-99FE-B9D127C57AFE}
McAfee ENS = {436D0575-3FCC-49C2-9E9C-5772A341E1D5}
Carbon Black = {009DDD00-35E7-4664-AFB3-732D5C459754}
Microsoft AMSI = {2a576b87-09a7-520e-c21a-4942f0271d67}
用于测试
WScript AMSI 注入的脚本:
- 打开记事本。
- 将以下文本粘贴到记事本中:
i=10
If i=10 Then
msgbox("TEST, Click OK to close")
Else
Msgbox "Hello world"
End if
- 保存为 c:\temp\test.vbs 。
- 打开命令。行会话,键入 wscript test.vbs 并按 Enter。
