反恶意软件扫描接口 (AMSI)

目的

Windows反恶意软件扫描接口 (AMSI) 是一种通用的接口标准,允许应用程序和服务与计算机上存在的任何反恶意软件产品集成。 AMSI 为最终用户及其数据、应用程序和工作负载提供增强的恶意软件防护。

AMSI 与反恶意软件供应商无关;它旨在允许当今可集成到应用程序的反恶意软件产品提供的最常见恶意软件扫描和保护技术。 它支持调用结构,允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术。

AMSI 还支持会话的概念,以便反恶意软件供应商可以关联不同的扫描请求。 例如,恶意有效负载的不同片段可以关联到更明智的决策,这可以通过孤立地查看这些片段来更难达到。

与 AMSI 集成的Windows组件

AMSI 功能集成到Windows 10的这些组件中。

  • 用户帐户控制或 UAC (EXE、COM、MSI 或ActiveX安装)
  • PowerShell (脚本、交互式用途和动态代码评估)
  • Windows脚本主机 (wscript.exe 和cscript.exe)
  • JavaScript 和 VBScript
  • Office VBA 宏

开发人员受众和示例代码

反恶意软件扫描接口旨在供两组开发人员使用。

  • 希望从其应用中向反恶意软件产品发出请求的应用程序开发人员。
  • 希望其产品向应用程序提供最佳功能的反恶意软件产品的第三方创建者。

有关详细信息,请参阅 开发人员受众和示例代码

注意

从版本 1903 Windows 10开始,如果 AMSI 提供程序 DLL 未进行验证码签名,则它可能无法加载 (,具体取决于主机的配置方式) 。 有关完整详细信息,请参阅 IAntimalwareProvider 接口

在本节中

主题 说明
AMSI 如何帮助你抵御恶意软件 作为应用程序开发人员,你可以积极参与恶意软件防御。 具体而言,你可以帮助保护客户免受基于动态脚本的恶意软件以及来自非传统网络攻击途径的攻击。
开发人员受众、示例 本主题介绍为其设计了反恶意软件扫描接口的开发人员组。
反恶意软件扫描接口参考 AMSI API 的枚举、COM 接口和其他编程元素。