Udostępnij przez

Demonstracje amsi z Ochrona punktu końcowego w usłudze Microsoft Defender

  • Dotyczy: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

Ochrona punktu końcowego w usłudze Microsoft Defender korzysta z interfejsu amsi (Antimalware Scan Interface) w celu zwiększenia ochrony przed złośliwym oprogramowaniem bez plików, dynamicznymi atakami opartymi na skryptach i innymi nietradycyjnymi zagrożeniami cybernetycznymi. W tym artykule opisano sposób testowania aparatu AMSI z niegroźnym przykładem.

Prerequsites

  • Microsoft Defender program antywirusowy (jako podstawowy) i należy włączyć następujące funkcje:
    • ochrona Real-Time (RTP)
    • Monitorowanie zachowania (BM)
    • Włączanie skanowania skryptów

Obsługiwane systemy operacyjne

  • Windows 10 lub nowszy
  • Windows Server 2016 i nowsze

Testowanie interfejsu AMSI za pomocą usługi Defender for Endpoint

W tym artykule demonstracyjnym można przetestować interfejs AMSI z dwoma aparatami:

  • PowerShell
  • VBScript

Testowanie interfejsu AMSI za pomocą programu PowerShell

  1. Zapisz następujący skrypt programu PowerShell jako AMSI_PoSh_script.ps1:

    $testString = "AMSI Test Sample: " + "7e72c3ce-861b-4339-8740-0ac1484c1386"
Invoke-Expression $testString
```powershell

  2. Na urządzeniu otwórz program PowerShell jako administrator.

  3. Wpisz ciąg Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, a następnie naciśnij klawisz Enter.

    Wynik powinien wyglądać następująco:

       Invoke-Expression : At line:1 char:1

   + AMSI Test Sample: 7e72c3ce-861b-4339-8740-8ac1484c1386

   + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

   This script contains malicious content and has been blocked by your antivirus software.

   At C:\Users\Admin\Desktop\AMSI_PoSh_script.ps1:3 char:1

   + Invoke-Expression $testString

   + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

   + CategoryInfo          : ParserError: (:) [Invoke-Expression], ParseException

   + FullyQualifiedErrorId : ScriptContainedMaliciousContent,Microsoft.PowerShell.Commands.InvokeExpressionCommand
    ```

Testowanie interfejsu AMSI przy użyciu języka VBScript

  1. Zapisz następujący skrypt VBScript jako AMSI_vbscript.vbs:

    REM Save this sample AMSI vbscript as AMSI_vbscript.vbs
Dim result
result = eval("AMSI Test Sample: " + "7e72c3ce-861b-4339-8740-0ac1484c1386")
WScript.Echo result

  2. Na urządzeniu z systemem Windows otwórz wiersz polecenia jako administrator.

  3. Wpisz ciąg wscript AMSI_vbscript.vbs, a następnie naciśnij klawisz Enter.

    Wynik powinien wyglądać następująco:

    Windows Script Host

Script: C:\Users\Admin\Desktop\AMSI_vbscript.vbs

Line: 3

Char: 1

Error: This script contains malicious content and has been blocked by your antivirus software.: 'eval'

Code: 800A802D

Source: Microsoft VBScript runtime error

Weryfikowanie wyników testu

W historii ochrony powinny być widoczne następujące informacje:

Threat blocked

Detected: Virus: Win32/MpTest!amsi

Status: Cleaned

This threat or app was cleaned or quarantined before it became active on your device.

Details: This program is dangerous and replicates by infecting other files.

Affected items:

amsi: \Device\HarddiskVolume3\Windows\System32\WindowsPowershell\v1.0\powershell.exe

or

amsi: C:\Users\Admin\Desktop\AMSI_vbscript.vbs

and/or you might see:

Threat blocked

Detected: Virus: Win32/MpTest!amsi

Status: Cleaned

This threat or app was cleaned or quarantined before it became active on your device.

Details: This program is dangerous and replicates by infecting other files

Uzyskiwanie listy zagrożeń programu antywirusowego Microsoft Defender

Wykryte zagrożenia można wyświetlić za pomocą dziennika zdarzeń lub programu PowerShell.

Korzystanie z dziennika zdarzeń

  1. Przejdź do pozycji Start i wyszukaj ciąg EventVwr.msc. Otwórz Podgląd zdarzeń na liście wyników.

  2. Przejdźdo obszaru Dzienniki aplikacji i usługzdarzeń operacyjnych> microsoft > Windows > Defender.

  3. Poszukaj event ID 1116. Powinny zostać wyświetlone następujące informacje:

    
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.

For more information please see the following: https://go.microsoft.com/fwlink/?linkid=37020&name=Virus:Win32/MpTest!amsi&t

Name: Virus:Win32/MpTest!amsi

ID: 2147694217

Severity: Severe

Category: Virus

Path: \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe or C:\Users\Admin\Desktop\AMSI_jscri

Detection Origin: Local machine or Unknown

Detection Type: Concrete

Detection Source: System

User: NT AUTHORITY\SYSTEM

Process Name: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe or C:\Windows\System32\cscript.exe or C:\Windows\Sy

Security intelligence Version: AV: 1.419.221.0, AS: 1.419.221.0, NIS: 1.419.221.0

Engine Version: AM: 1.1.24080.9, NIS: 1.1.24080.9

Korzystanie z programu PowerShell

  1. Na urządzeniu otwórz program PowerShell.

  2. Wpisz następujące polecenie: Get-MpThreat.

    Mogą zostać wyświetlone następujące wyniki:

    CategoryID     : 42

DidThreatExecute : True

IsActive       : True

Resources      :

RollupStatus   : 97

SchemaVersion  : 1.0.0.0

SeverityID     : 5

ThreatID       : 2147694217

ThreatName     : Virus:Win32/MpTest!amsi

TypeID         : 0

PSComputerName :

Zobacz też

Ochrona punktu końcowego w usłudze Microsoft Defender — scenariusze demonstracyjnych

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.

  • Last updated on