AMSI AMSI

1. Présentation

AMSI (Antimalware Scan Interface) est une plateforme d’échange qui permet à des applications de communiquer avec un antivirus compatible sur la machine. Elle permet aux applications de dialoguer directement avec l’antivirus, et en conséquence permet aux antivirus de mieux contrôler ce qui se passe sur la machine.

Contrairement à l’execution policy, AMSI a été conçu comme un mécanisme de sécurité. Introduit à partir de Windows 10 (2015), AMSI est principalement utilisé sous forme d’API (Access Programming interface) par les développeurs d’applications pour dialoguer avec l’antivirus du poste ; mais également par les éditeurs d’antivirus pour supporter au mieux les fonctionnalités offertes par ce mécanisme.

Pour revenir à PowerShell, la difficulté à sécuriser un Shell est qu’un utilisateur peut saisir à peu près ce qu’il veut comme commande. Il est donc impossible d’utiliser un modèle de signature sur fichier statique classique. L’analyse comportementale (par exemple repérer que le script télécharge du code, puis l’exécute avant de tenter d’élever ses privilèges) est également difficile au vu des durées des sessions de scripting et de la complexité possible des saisies. AMSI essaye de répondre à...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Code signing
Suivant
Conclusion