使用 Microsoft Defender for Endpoint 进行 AMSI 演示

  • 项目

适用于:

Microsoft Defender for Endpoint利用反恶意软件扫描接口 (AMSI) 来增强针对无文件恶意软件、基于动态脚本的攻击和其他非传统网络威胁的保护。 本文介绍如何使用良性示例测试 AMSI 引擎。

方案要求和设置

  • Windows 10或更高版本
  • Windows Server 2016或更高版本
  • Microsoft Defender防病毒 (作为主要) ,需要启用这些功能:
    • Real-Time 保护 (RTP)
    • 行为监视 (BM)
    • 启用脚本扫描

使用 Defender for Endpoint 测试 AMSI

在本演示文章中,有两个用于测试 AMSI 的引擎选项:

  • PowerShell
  • VBScript

使用 PowerShell 测试 AMSI

  1. 将以下 PowerShell 脚本保存为 AMSI_PoSh_script.ps1

    显示要另存为 AMSI_PoSh_script.ps1的 PowerShell 脚本的屏幕截图

  2. 在设备上,以管理员身份打开 PowerShell。

  3. 键入Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1,然后按 Enter 键。

    结果应如下所示:

    显示 AMSI 测试示例结果的屏幕截图。它应显示检测到威胁。

使用 VBScript 测试 AMSI

  1. 将以下 VBScript 保存为 AMSI_vbscript.vbs

    显示要另存为 AMSI_vbscript.vbs的 VBScript 的屏幕截图

  2. 在 Windows 设备上,以管理员身份打开命令提示符。

  3. 键入wscript AMSI_vbscript.js,然后按 Enter 键。

    结果应如下所示:

    显示 AMSI 测试结果的屏幕截图。它应显示防病毒软件阻止了脚本。

验证测试结果

在保护历史记录中,应能够看到以下信息:

显示 AMSI 测试结果的屏幕截图。该信息应显示威胁已被阻止和清理。

获取Microsoft Defender防病毒威胁的列表

可以使用事件日志或 PowerShell 查看检测到的威胁。

使用事件日志

  1. 转到 “开始”菜单,然后搜索 EventVwr.msc。 打开结果列表中的事件查看器。

  2. 转到 “应用程序和服务日志>”Microsoft>Windows>Defender 操作事件

  3. 查找 event ID 1116。 应会看到以下信息:

    显示事件 ID 1116 的屏幕截图,显示检测到恶意软件或不需要的软件。

使用 PowerShell

  1. 在设备上,打开 PowerShell。

  2. 键入以下命令: Get-MpThreat

    你可能会看到以下结果:

    显示 Get-MpThreat 命令结果的屏幕截图。它应显示检测到 AMSI 威胁。

另请参阅

Microsoft Defender for Endpoint - 演示方案

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区