Interfaz de examen antimalware (AMSI)

  • Artículo
  • 2 minutos para leer

Propósito

El Windows Interfaz de examen antimalware (AMSI) es un estándar de interfaz versátil que permite que las aplicaciones y los servicios se integren con cualquier producto antimalware que esté presente en una máquina. AMSI proporciona protección mejorada contra malware para los usuarios finales y sus datos, aplicaciones y cargas de trabajo.

AMSI es independiente del proveedor antimalware; está diseñado para permitir las técnicas de detección y protección de malware más comunes proporcionadas por los productos antimalware actuales que se pueden integrar en las aplicaciones. Admite una estructura de llamadas que permite el examen de archivos y memoria o secuencias, las comprobaciones de reputación de DIRECCIÓN URL/IP de origen de contenido y otras técnicas.

AMSI también admite la noción de una sesión para que los proveedores de antimalware puedan correlacionar diferentes solicitudes de examen. Por ejemplo, los diferentes fragmentos de una carga malintencionada se pueden asociar para llegar a una decisión más informada, lo que sería mucho más difícil de alcanzar simplemente examinando esos fragmentos de forma aislada.

Windows componentes que se integran con AMSI

La característica AMSI se integra en estos componentes de Windows 10.

  • Control de cuentas de usuario o UAC (elevación de EXE, COM, MSI o instalación ActiveX)
  • PowerShell (scripts, uso interactivo y evaluación dinámica de código)
  • Windows host de script (wscript.exe y cscript.exe)
  • JavaScript y VBScript
  • macros de VBA de Office

Público para desarrolladores y código de ejemplo

La interfaz de examen de Antimalware está diseñada para su uso por dos grupos de desarrolladores.

  • Desarrolladores de aplicaciones que quieren realizar solicitudes a productos antimalware desde sus aplicaciones.
  • Creadores de terceros de productos antimalware que quieren que sus productos ofrezcan las mejores características a las aplicaciones.

Para obtener más información, consulta Público para desarrolladores y código de ejemplo.

Nota

A partir de Windows 10, versión 1903, si el archivo DLL del proveedor de AMSI no está firmado con Authenticode, es posible que no se cargue (según cómo esté configurada la máquina host). Para obtener información completa, consulte IAntimalwareProvider interface (Interfaz IAntimalwareProvider).

En esta sección

Tema Descripción
Cómo AMSI le ayuda a defenderse contra malware Como desarrollador de aplicaciones, puede participar activamente en la defensa contra malware. En concreto, puede ayudar a proteger a los clientes frente a malware dinámico basado en scripts y frente a avenidas no tradicionales de ciberataques.
Público para desarrolladores, ejemplos En este tema se describen los grupos de desarrolladores para los que está diseñada la interfaz de examen de Antimalware.
Referencia de la interfaz de examen antimalware Enumeraciones, interfaces COM y otros elementos de programación de la API de AMSI.