Сканирование файлов с помощью интерфейса сканирования на наличие вредоносных программ

В этом видео я расскажу, как сканировать файлы на наличие вредоносных программ с помощью интерфейса сканирования Anti-Malware Scan Interface (AMSI), встроенного в Windows. Вместо того, чтобы просто щёлкать правой кнопкой мыши и сканировать с помощью Defender, я покажу, как сделать это непосредственно из вашего собственного кода на C++, используя API AMSI.
Мы рассмотрим, как работает AMSI, как его инициализировать, открыть сеанс, отобразить файл в память и просканировать его с помощью функции AmsiScanBuffer. Вы увидите, как AMSI автоматически использует активного поставщика системы — будь то Microsoft Defender, CrowdStrike, SentinelOne или любой другой установленный EDR — и как интерпретировать результаты сканирования.
Я также продемонстрирую это на реальных примерах, включая сканирование чистого системного файла и известного вредоносного драйвера, и покажу, что происходит «под капотом», когда AMSI загружает DLL-библиотеку поставщика. Если вы работаете над инструментами безопасности, проводите исследования или просто хотите понять, как Windows незаметно обнаруживает вредоносное ПО, это видео позволит вам наглядно увидеть работу уровня AMSI.
Подробнее: https://trainsec.net/library/