Del via

AMSI-demonstrationer med Microsoft Defender for Endpoint

  • Artikel

Gælder for:

Microsoft Defender for Endpoint bruger AMSI (Antimalware Scan Interface) til at forbedre beskyttelsen mod filløs malware, dynamiske scriptbaserede angreb og andre utraditionelle cybertrusler. I denne artikel beskriver vi, hvordan du tester AMSI-programmet med et godartet eksempel.

Scenariekrav og konfiguration

  • Windows 10 eller nyere
  • Windows Server 2016 eller nyere
  • Microsoft Defender Antivirus (som primær), og disse funktioner skal aktiveres:
    • RTP (Real-Time Protection)
    • BM (Behavior Monitoring)
    • Slå scriptscanning til

Test af AMSI med Defender for Endpoint

I denne demonstrationsartikel har du to muligheder for at teste AMSI:

  • PowerShell
  • VBScript

Test AMSI med PowerShell

  1. Gem følgende PowerShell-script som AMSI_PoSh_script.ps1:

    Skærmbillede, der viser PowerShell-script, der skal gemmes som AMSI_PoSh_script.ps1

  2. Åbn PowerShell som administrator på din enhed.

  3. Skriv Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, og tryk derefter på Enter.

    Resultatet skal være som følger:

    Skærmbillede, der viser resultaterne af AMSI-testeksemplet. Det burde vise en trussel blev opdaget.

Test AMSI med VBScript

  1. Gem følgende VBScript som AMSI_vbscript.vbs:

    Skærmbillede, der viser VBScript, der skal gemmes som AMSI_vbscript.vbs

  2. Åbn Kommandoprompt som administrator på din Windows-enhed.

  3. Skriv wscript AMSI_vbscript.js, og tryk derefter på Enter.

    Resultatet skal være som følger:

    Skærmbillede, der viser AMSI-testresultaterne. Det skal vise, at antivirussoftware blokerede scriptet.

Kontrollerer testresultaterne

I din beskyttelseshistorik bør du kunne se følgende oplysninger:

Skærmbillede, der viser AMSI-testresultaterne. Oplysningerne bør vise, at en trussel blev blokeret og renset.

Hent listen over Microsoft Defender Antivirus-trusler

Du kan få vist registrerede trusler ved hjælp af hændelsesloggen eller PowerShell.

Brug hændelsesloggen

  1. Gå til Start, og søg efter EventVwr.msc. Åbn Logbog på listen over resultater.

  2. Gå til Logfiler for> programmer og tjenesterDriftshændelser iMicrosoft>Windows> Defender.

  3. Søg efter event ID 1116. Du bør se følgende oplysninger:

    Skærmbillede, der viser Hændelses-id 1116, hvor der står, at der blev registreret malware eller uønsket software.

Brug PowerShell

  1. Åbn PowerShell på din enhed.

  2. Skriv følgende kommando: Get-MpThreat.

    Du kan muligvis se følgende resultater:

    Skærmbillede, der viser resultaterne af kommandoen Get-MpThreat. Det bør vise, at der blev opdaget en AMSI-trussel.

Se også

Microsoft Defender for Endpoint – demonstrationsscenarier

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.