Interfejs skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI)
Cel
Windows Antimalware Scan Interface (AMSI) to wszechstronny standard interfejsu, który umożliwia aplikacjom i usługom integrację z dowolnym produktem chroniącym przed złośliwym kodem, który znajduje się na maszynie. Usługa AMSI zapewnia rozszerzoną ochronę przed złośliwym oprogramowaniem dla użytkowników końcowych i ich danych, aplikacji i obciążeń.
Usługa AMSI jest niezależna od dostawcy oprogramowania chroniącego przed złośliwym kodem; Jest ona przeznaczona do umożliwienia najbardziej typowych technik skanowania i ochrony przed złośliwym oprogramowaniem udostępnianych przez dzisiejsze produkty chroniące przed złośliwym kodem, które można zintegrować z aplikacjami. Obsługuje on strukturę wywołującą umożliwiającą skanowanie plików i pamięci lub strumieni, sprawdzanie reputacji adresu URL/adresu IP źródła zawartości oraz inne techniki.
Usługa AMSI obsługuje również pojęcie sesji, dzięki czemu dostawcy oprogramowania chroniącego przed złośliwym kodem mogą skorelować różne żądania skanowania. Na przykład różne fragmenty złośliwego ładunku mogą być związane z osiągnięciem bardziej świadomej decyzji, co byłoby znacznie trudniejsze do osiągnięcia, patrząc na te fragmenty w izolacji.
Składniki systemu Windows zintegrowane z usługą AMSI
Funkcja AMSI jest zintegrowana z tymi składnikami systemu Windows 10.
- Kontrola konta użytkownika lub kontrola konta użytkownika (podniesienie uprawnień EXE, COM, MSI lub Instalacji ActiveX)
- PowerShell (skrypty, interakcyjne użycie i dynamiczna ocena kodu)
- Host skryptów systemu Windows (wscript.exe i cscript.exe)
- JavaScript i VBScript
- Makra VBA pakietu Office
Odbiorcy deweloperów i przykładowy kod
Interfejs skanowania oprogramowania chroniącego przed złośliwym kodem jest przeznaczony do użycia przez dwie grupy deweloperów.
- Deweloperzy aplikacji, którzy chcą wysyłać żądania do produktów chroniących przed złośliwym kodem z poziomu swoich aplikacji.
- Twórcy innych firm produktów chroniących przed złośliwym kodem, którzy chcą, aby ich produkty oferowały najlepsze funkcje aplikacjom.
Aby uzyskać więcej informacji, zobacz odbiorcy deweloperów i przykładowy kod.
Nuta
Począwszy od systemu Windows 10 w wersji 1903, jeśli biblioteka DLL dostawcy AMSI nie jest podpisana przez aplikację Authenticode, może nie zostać załadowana (w zależności od konfiguracji maszyny hosta). Aby uzyskać szczegółowe informacje, zobacz interfejs IAntimalwareProvider.
W tej sekcji
Temat | Opis |
---|---|
Jak usługa AMSI pomaga bronić się przed złośliwym oprogramowaniem | Jako deweloper aplikacji możesz aktywnie uczestniczyć w obronie złośliwego oprogramowania. W szczególności możesz pomóc chronić klientów przed dynamicznym złośliwym oprogramowaniem opartym na skryptach oraz przed nie tradycyjnymi drogami cyberataku. |
odbiorcy deweloperów, przykłady | W tym temacie opisano grupy deweloperów, dla których zaprojektowano interfejs skanowania oprogramowania chroniącego przed złośliwym kodem. |
dokumentacja interfejsu skanowania ochrony przed złośliwym kodem | Wyliczenia, interfejsy COM i inne elementy programowania interfejsu API AMSI. |