En el caso de un búfer determinado, AMSI podría proporcionar un nombre de archivo de respaldo correspondiente. ENS puede utilizar el nombre del archivo para decidir si se debe excluir un archivo o script determinados del análisis.
Los atributos de búfer proporcionados por AMSI son muy específicos de las aplicaciones. Por ejemplo, los motores de JavaScript y VBScript tienden a proporcionar de forma coherente un nombre de archivo y, como resultado, ENS a menudo puede aceptar exclusiones. No obstante, los atributos AMSI proporcionados para un búfer de PowerShell no son coherentes de la misma forma. En ocasiones, un nombre de archivo se devuelve como un
AMSI_ATTRIBUTE , mientras que a veces no lo es. Aunque no se haya decidido analizar un script de PowerShell a través de una exclusión en tiempo real analizador, ENS recibe una segunda solicitud de análisis que no contiene ningún nombre de archivo.
Cuando el búfer se proporciona para el análisis, el
AMSI_ATTRIBUTE_CONTENT_NAME atributo que viene con el búfer no siempre proporciona un nombre de archivo correspondiente. A veces, el nombre de archivo corresponde a un nombre de script interno (por ejemplo,
Microsoft.PowerShell.Utility.psd1 ). Como resultado, no es posible correlacionar de forma fiable el búfer con el nombre de archivo. Microsoft considera este comportamiento por diseño, ya que su documentación para
AMSI_ATTRIBUTE la enumeración indica que el valor del nombre de contenido puede contener varios identificadores distintos, entre los que el nombre de archivo solo es una opción.
PowerShell no rastrea el origen original de todos los bloques de script que se ejecutan. Por ejemplo, un archivo script que contiene secuencias de comandos de texto envía esos bloques de texto script a AMSI. No obstante, PowerShell no contiene el nombre del archivo script en el que se definen los bloques de texto script.
Se espera este comportamiento según el diseño de Microsoft de AMSI. No es posible que las exclusiones de ENS correlacionen el búfer con un nombre de archivo de manera fiable.