مشاركة عبر

عروض AMSI مع Microsoft Defender لنقطة النهاية

  • مقالة

ينطبق على:

يستخدم Microsoft Defender لنقطة النهاية واجهة فحص البرامج الضارة (AMSI) لتحسين الحماية من البرامج الضارة بدون ملفات والهجمات الديناميكية المستندة إلى البرنامج النصي والتهديدات الإلكترونية الأخرى غير العابرة. في هذه المقالة، نصف كيفية اختبار محرك AMSI مع عينة حميدة.

متطلبات السيناريو والإعداد

  • Windows 10 أو أحدث
  • Windows Server 2016، أو أحدث
  • Microsoft Defender مكافحة الفيروسات (كجهة أساسية) ويجب تمكين هذه الإمكانات:
    • حماية Real-Time (RTP)
    • مراقبة السلوك (BM)
    • تشغيل فحص البرنامج النصي

اختبار AMSI مع Defender لنقطة النهاية

في مقالة العرض التوضيحي هذه، لديك خياران للمحرك لاختبار AMSI:

  • PowerShell
  • VBScript

اختبار AMSI مع PowerShell

  1. احفظ البرنامج النصي PowerShell التالي ك AMSI_PoSh_script.ps1:

    لقطة شاشة تعرض برنامج PowerShell النصي للحفظ ك AMSI_PoSh_script.ps1

  2. على جهازك، افتح PowerShell كمسؤول.

  3. اكتب Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1، ثم اضغط على مفتاح الإدخال Enter.

    يجب أن تكون النتيجة كما يلي:

    لقطة شاشة تعرض نتائج نموذج اختبار AMSI. يجب أن يظهر أنه تم الكشف عن تهديد.

اختبار AMSI مع VBScript

  1. احفظ VBScript التالي ك AMSI_vbscript.vbs:

    لقطة شاشة تعرض VBScript للحفظ ك AMSI_vbscript.vbs

  2. على جهاز Windows، افتح موجه الأوامر كمسؤول.

  3. اكتب wscript AMSI_vbscript.js، ثم اضغط على مفتاح الإدخال Enter.

    يجب أن تكون النتيجة كما يلي:

    لقطة شاشة تعرض نتائج اختبار AMSI. يجب أن يظهر أن برنامج مكافحة الفيروسات حظر البرنامج النصي.

التحقق من نتائج الاختبار

في محفوظات الحماية الخاصة بك، يجب أن تكون قادرا على رؤية المعلومات التالية:

لقطة شاشة تعرض نتائج اختبار AMSI. يجب أن تظهر المعلومات أنه تم حظر تهديد وتنظيفه.

الحصول على قائمة تهديدات برنامج الحماية من الفيروسات Microsoft Defender

يمكنك عرض التهديدات المكتشفة باستخدام سجل الأحداث أو PowerShell.

استخدام سجل الأحداث

  1. انتقل إلى قائمة البدء، وابحث عن EventVwr.msc. افتح عارض الأحداث في قائمة النتائج.

  2. انتقل إلى سجلات التطبيقات والخدمات الأحداث> التشغيليةل Microsoft>Windows>Windows Defender.

  3. ابحث عن event ID 1116. يجب أن تشاهد المعلومات التالية:

    لقطة شاشة تعرض معرف الحدث 1116، الذي يشير إلى اكتشاف برامج ضارة أو برامج غير مرغوب فيها.

استخدام PowerShell

  1. على جهازك، افتح PowerShell.

  2. اكتب الأمر التالي: Get-MpThreat.

    قد ترى النتائج التالية:

    لقطة شاشة تعرض نتائج الأمر Get-MpThreat. يجب أن يظهر أنه تم الكشف عن تهديد AMSI.

راجع أيضًا

Microsoft Defender لنقطة النهاية - سيناريوهات العرض التوضيحي

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.