反恶意软件扫描接口 (AMSI)

用途

Windows 反恶意软件扫描接口 (AMSI) 是一种通用的接口标准,允许应用程序和服务与计算机上的任何反恶意软件产品集成。 AMSI 为最终用户及其数据、应用程序和工作负载提供增强的恶意软件防护。

AMSI 与反恶意软件供应商无关;它的设计允许当今反恶意软件产品提供的最常见的恶意软件扫描和保护技术可以集成到应用程序中。 它支持调用结构,允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术。

AMSI 还支持会话的概念,这样反恶意软件供应商就可以关联不同的扫描请求。 例如,可以将恶意有效负载的不同片段相关联,以做出更明智的决定,而仅通过孤立地查看这些片段将更难做出决定。

与 AMSI 集成的 Windows 组件

AMSI 功能已集成到 Windows 10 的这些组件中。

  • 用户帐户控件或 UAC(EXE、COM、MSI 或 ActiveX 安装的提升)
  • PowerShell(脚本、交互式使用和动态代码评估)
  • Windows 脚本主机(wscript.exe 和 cscript.exe)
  • JavaScript 和 VBScript
  • Office VBA 宏

开发人员受众和示例代码

反恶意软件扫描接口是为两组开发人员设计的。

  • 希望从应用中请求反恶意软件产品的应用程序开发人员。
  • 反恶意软件产品的第三方创建者希望其产品为应用程序提供最佳功能。

有关详细信息,请参阅开发人员受众和示例代码

注意

从 Windows 10 版本 1903 开始,如果 AMSI 提供程序 DLL 未经验证码签名,则可能无法加载(具体取决于主机的配置方式)。 有关完整详细信息,请参阅 IAntimalwareProvider 接口

本节内容

主题 说明
AMSI 如何帮助你防范恶意软件 作为应用程序开发人员,你可以积极参与恶意软件防御。 具体来说,你可以帮助保护客户免受基于动态脚本的恶意软件和非传统网络攻击途径的攻击。
开发人员受众,示例 本主题介绍为其设计反恶意软件扫描接口的开发人员组。
反恶意软件扫描接口参考 AMSI API 的枚举、COM 接口和其他编程元素。