关于py-amsi
py-amsi是一款基于Windows反恶意软件接口(AMSI)实现的强大安全工具,该工具可以利用AMSI扫描恶意软件相关的字符串与文件信息,以检测目标系统是否感染了恶意软件。
AMSI是Windows的原生接口,允许应用程序要求系统上安装的防病毒软件分析文件/字符串。需要注意的是,AMSI与Windows Defender无关。
什么是AMSI
Windows反恶意软件扫描接口(AMSI)是一种通用的接口标准,允许我们的应用程序和服务与计算机上的任何反恶意软件产品集成。AMSI可以为最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。
AMSI可以为反恶意软件产品提供最常见的恶意软件扫描和保护技术,这些技术可以集成到应用程序中,并可以执行文件和内存或流扫描、内容源URL/IP信誉检查以及其他技术。
工具安装
由于该工具部分功能使用Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。
源码安装接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
gitclonehttps://github.com/Tomiwa-Ot/py-amsi.git(向右滑动,查看更多)
然后切换到项目目录下,执行安装脚本即可:
cdpy-amsi/pythonsetup.py install
pip安装
除此之外,我们还可以直接使用pip工具安装py-amsi:
pipinstall pyamsi
工具使用
frompyamsiimportAmsi# 扫描一个文件Amsi.scan_file(file_path, debug=True)# debug is optional and False by default# 扫描字符串Amsi.scan_string(string, string_name, debug=False)# debug is optional and False by default# Both functions return a dictionary of the format# {# 'Sample Size' : 68, // The string/file size in bytes# 'Risk Level' : 0, // The risk level as suggested by the antivirus# 'Message' : 'File is clean' // Response message# }(向右滑动,查看更多)
风险等级
|
风险等级 |
描述介绍 |
|
0 |
AMSI_RESULT_CLEAN (文件是良性的) |
|
1 |
AMSI_RESULT_NOT_DETECTED (未检测到威胁) |
|
16384 |
AMSI_RESULT_BLOCKED_BY_ADMIN_START (管理员已屏蔽此威胁) |
|
20479 |
AMSI_RESULT_BLOCKED_BY_ADMIN_END (管理员已屏蔽此威胁) |
|
32768 |
AMSI_RESULT_DETECTED (文件与恶意软件有关) |
函数子模块
pyamsi.Amsi.scan_file
debug=False)参数path(str): 要扫描的目标文件路径:显示调试信息 (默认=False, 可选)返回字典:SampleSize = 字符串大小RiskLevel = AMSI 提供商标记的风险等级Message=AMSI响应(向右滑动,查看更多)
pyamsi.Amsi.scan_string
name, debug=False)参数text(str): 要扫描的字符串name(str): 字符串名称debug(bool): 显示调试信息 (默认=False, 可选)返回字典:SampleSize = 字符串大小RiskLevel = AMSI 提供商标记的风险等级Message=AMSI响应(向右滑动,查看更多)
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
py-amsi:https://github.com/Tomiwa-Ot/py-amsi
https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
https://tomiwa-ot.github.io/py-amsi/genindex.html
https://pypi.org/project/pyamsi/
原文始发于微信公众号(FreeBuf):py-amsi:一款基于AMSI的恶意软件扫描与识别工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论