Dela via

AMSI-demonstrationer med Microsoft Defender för Endpoint

  • Artikel

Gäller för:

Microsoft Defender för Endpoint använder AMSI (Antimalware Scan Interface) för att förbättra skyddet mot fillös skadlig kod, dynamiska skriptbaserade attacker och andra icke-traditionella cyberhot. I den här artikeln beskriver vi hur du testar AMSI-motorn med ett godartat exempel.

Scenariokrav och installation

  • Windows 10 eller senare
  • Windows Server 2016 eller senare
  • Microsoft Defender Antivirus (som primär) och dessa funktioner måste aktiveras:
    • Real-Time Protection (RTP)
    • Beteendeövervakning (BM)
    • Aktivera skriptgenomsökning

Testa AMSI med Defender för Endpoint

I den här demonstrationsartikeln har du två motorval för att testa AMSI:

  • PowerShell
  • VBScript

Testa AMSI med PowerShell

  1. Spara följande PowerShell-skript som AMSI_PoSh_script.ps1:

    Skärmbild som visar PowerShell-skript för att spara som AMSI_PoSh_script.ps1

  2. Öppna PowerShell som administratör på enheten.

  3. Skriv Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1och tryck sedan på Retur.

    Resultatet bör vara följande:

    Skärmbild som visar resultatet av AMSI-testexemplet. Det bör visa att ett hot har identifierats.

Testa AMSI med VBScript

  1. Spara följande VBScript som AMSI_vbscript.vbs:

    Skärmbild som visar hur VBScript sparas som AMSI_vbscript.vbs

  2. Öppna Kommandotolken som administratör på din Windows-enhet.

  3. Skriv wscript AMSI_vbscript.jsoch tryck sedan på Retur.

    Resultatet bör vara följande:

    Skärmbild som visar AMSI-testresultatet. Det bör visa att antivirusprogrammet blockerade skriptet.

Verifiera testresultaten

I din skyddshistorik bör du kunna se följande information:

Skärmbild som visar AMSI-testresultatet. Informationen bör visa att ett hot har blockerats och rensats.

Hämta listan över Microsoft Defender antivirushot

Du kan visa identifierade hot med hjälp av händelseloggen eller PowerShell.

Använda händelseloggen

  1. Gå till Start och sök EventVwr.mscefter . Öppna Loggboken i resultatlistan.

  2. Gå till Program- och tjänstloggar>Microsoft>Windows>Windows Defender-drifthändelser.

  3. Leta event ID 1116efter . Du bör se följande information:

    Skärmbild som visar händelse-ID 1116, där det står att skadlig kod eller oönskad programvara har identifierats.

Använda PowerShell

  1. Öppna PowerShell på enheten.

  2. Skriv följande kommando: Get-MpThreat.

    Du kan se följande resultat:

    Skärmbild som visar resultatet av kommandot Get-MpThreat. Det bör visa att ett AMSI-hot har identifierats.

Se även

Microsoft Defender för Endpoint – demonstrationsscenarier

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.