AMSI
AMSI обеспечивает общий интерфейс, который позволяет антивирусному ПО анализировать более сложные аспекты скриптов и другого динамически исполняемого кода. Это означает, что он может быть использован для проверки макросов в документах Office, PowerShell-скриптов, JavaScript и других видов скриптового и интерпретируемого кода на наличие вредоносного содержимого.
Поскольку AMSI встроен в процесс выполнения скрипта, он может просканировать содержимое скрипта на любом этапе его выполнения, что делает его очень эффективным против вредоносных скриптов, которые изменяют свое поведение во время выполнения, чтобы избежать обнаружения.
AMSI предназначен для использования совместно с антивирусным ПО. Фактически, AMSI дополняет антивирусные решения, предоставляя дополнительные способы обнаружения вредоносного ПО.
Легально, но опасно. В открытый доступ попал код для подмены системных вызовов
Следов вторжения через LazyHook не найдёт даже самый внимательный сканер.
Троян без тела: он пишет в память, говорит через TCP и умирает лишь вместе с системой
XWorm исчезает из песочницы ещё до того, как она успевает открыть журнал.
Вирус в системе правосудия: зараженное ПО JAVS атакует суды
Хакеры скомпрометировали цепочку поставок всемирно известной программы.
SharePoint и 100 000 уязвимых серверов: аналитики исследуют дефекты платформы
Патчи давно выпущены, но могут ли эксплойты «разбудить зверя»?
Хакеры предпочитают BatCloak: новый движок для обфускации обходит 80% антивирусов
Трёхэтапная распаковка позволяет максимально скрытно поместить вредонос в целевую систему.
MEME#4CHAN: Необычная фишинговая кампания, использующая мемы в качестве переменных вредоносного кода
Успешная цепочка атак приводит к заражению целевых компьютеров универсальным вредоносом XWorm.
Нулевой символ поможет вредоносному ПО обойти AMSI в Windows 10
AMSI прекращает сканирование файла, наткнувшись на нулевой символ.