Avec Windows 10, Microsoft a introduit l’Antimalware Scan Interface (AMSI) dont l’objectif est de faciliter l’interaction entre les langages de scripting et les solutions antivirus. Ce mécanisme permet notamment de déjouer certaines techniques d’obfuscation visant à échapper aux signatures antivirus.
L’Antimalware Scan Interface (AMSI) est un mécanisme de protection intégré au sein de Windows 10. Son objectif est de fournir aux développeurs une interface leur permettant d’interagir de façon abstraite avec les solutions antivirus installées sur un poste. Son usage est notamment destiné aux langages de scripting tels que PowerShell, JScript, VBScript ou VBA.
Dans cet article, nous étudierons le fonctionnement de l’AMSI ainsi que son implémentation au sein de divers composants, puis nous nous intéresserons aux méthodes permettant de contourner ce mécanisme.
1. AMSI
1.1 Fonctionnement
Lorsqu’une application souhaite procéder à l’inspection d’un contenu par un antivirus, celle-ci fait appel à l’AMSI. L’interface joue alors le rôle de courtier en redistribuant le contenu à analyser vers les différents « providers » (antivirus) inscrits auprès d’elle. Ce fonctionnement est présenté par le schéma en figure 1.
Fig....
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première