Interfaccia IAntimalwareProvider (amsi.h)
Rappresenta il provider del prodotto antimalware. Per un esempio di codice, vedere l'esempio di interfaccia IAntimalwareProvider.
L'interfaccia IAntimalwareProvider eredita dall'interfaccia IUnknown.
Ereditarietà
L'interfaccia IAntimalwareProvider eredita dall'interfaccia IUnknown.
Metodi
L'interfaccia IAntimalwareProvider include questi metodi.
| IAntimalwareProvider::CloseSession Chiude la sessione. (IAntimalwareProvider.CloseSession) |
| IAntimalwareProvider::D isplayName Nome del provider antimalware da visualizzare. |
| IAntimalwareProvider::Scan Analizzare un flusso di contenuto. (IAntimalwareProvider.Scan) |
Commenti
A partire da Windows 10, versione 1903, Windows ha aggiunto un modo per abilitare i controlli di firma Authenticode per i provider. La funzionalità è disabilitata per impostazione predefinita, sia per i processi a 32 bit che a 64 bit. Se si crea un provider a scopo di test, è possibile abilitare o disabilitare i controlli di firma impostando il valore del Registro di sistema di Windows seguente in modo appropriato. Il valore è un DWORD.
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AMSI\FeatureBits
| valore | Comportamento |
|---|---|
| 0x1 | Il controllo di firma è disabilitato. Questo è il comportamento predefinito. È anche possibile usare questo valore, temporaneamente, durante il test. |
| 0x2 | Il controllo per la firma Authenticode è abilitato. |
L'eliminazione del valore del Registro di sistema si comporta completamente come se il valore 0x1 fosse presente.
Nota
Come provider, è necessario usare l'opzione /ac (con SignTool) per firmare con un certificato Authenticode. Dopo aver firmato il file binario, è quindi possibile verificarlo usando SignTool e l'opzione /kp . Se SignTool non restituisce alcun errore, il file binario viene firmato correttamente.
Importante
Anche se il valore del Registro di sistema di Windows non è protetto dal sistema operativo, il provider antivirus del computer potrebbe proteggere il valore, rendendolo quindi protetto da scrittura.
Per verificare se il provider è in fase di caricamento, è possibile visualizzare gli eventi di integrità del codice. Assicurarsi di abilitare la registrazione dettagliata degli eventi di diagnostica dell'integrità del codice. Gli ID evento da cercare sono 3040 e 3041. Di seguito sono riportati alcuni esempi.
Log Name: Microsoft-Windows-CodeIntegrity/Verbose
Source: Microsoft-Windows-CodeIntegrity
Date: M/DD/YYYY H:MM:SS PM
Event ID: 3040
Task Category: (14)
Level: Verbose
Keywords:
User: [DOMAIN_NAME]\Administrator
Computer: [COMPUTER_NAME]
Description:
Code Integrity started retrieving the cached data of [PATH_AND_FILENAME] file.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CodeIntegrity" Guid="{4ee76bd8-3cf4-44a0-a0ac-3937643e37a3}" />
<EventID>3040</EventID>
<Version>0</Version>
<Level>5</Level>
<Task>14</Task>
<Opcode>1</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="YYYY-MM-DDT02:26:48.875954700Z" />
<EventRecordID>7</EventRecordID>
<Correlation />
<Execution ProcessID="4972" ThreadID="7752" ProcessorID="1" KernelTime="14" UserTime="2" />
<Channel>Microsoft-Windows-CodeIntegrity/Verbose</Channel>
<Computer>[COMPUTER_NAME]</Computer>
<Security UserID="[USER_SID]" />
</System>
<EventData>
<Data Name="FileNameLength">40</Data>
<Data Name="FileNameBuffer">[PATH_AND_FILENAME]</Data>
</EventData>
</Event>
Log Name: Microsoft-Windows-CodeIntegrity/Verbose
Source: Microsoft-Windows-CodeIntegrity
Date: M/DD/YYYY H:MM:SS PM
Event ID: 3041
Task Category: (14)
Level: Verbose
Keywords:
User: [DOMAIN_NAME]\Administrator
Computer: [COMPUTER_NAME]
Description:
Code Integrity completed retrieval of file cache. Status 0xC0000225.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CodeIntegrity" Guid="{4ee76bd8-3cf4-44a0-a0ac-3937643e37a3}" />
<EventID>3041</EventID>
<Version>2</Version>
<Level>5</Level>
<Task>14</Task>
<Opcode>2</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="YYYY-MM-DDT02:26:48.875964700Z" />
<EventRecordID>8</EventRecordID>
<Correlation />
<Execution ProcessID="4972" ThreadID="7752" ProcessorID="1" KernelTime="14" UserTime="2" />
<Channel>Microsoft-Windows-CodeIntegrity/Verbose</Channel>
<Computer>[COMPUTER_NAME]</Computer>
<Security UserID="[USER_SID]" />
</System>
<EventData>
<Data Name="Status">0xc0000225</Data>
<Data Name="CachedFlags">0x0</Data>
<Data Name="CacheSource">0</Data>
<Data Name="CachedPolicy">0</Data>
</EventData>
</Event>
Requisiti
| Requisito | Valore |
|---|---|
| Client minimo supportato | Windows 10 [solo app desktop] |
| Server minimo supportato | Windows Server 2016 [solo app desktop] |
| Piattaforma di destinazione | Windows |
| Intestazione | amsi.h |
Vedi anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per