Мы пытаемся определить, содержит ли загруженный файл (в данном случае Excel, но может быть что угодно) вредоносное ПО. Решение разработано в C#.
Чтобы определить, доступен ли AMSI, я вызываю следующее (показаны только соответствующие биты):
const string EicarTestString = @"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*";
AmsiNativeMethods.AmsiScanString(_context, EicarTestString, "EICAR", session, out scanResult)
При использовании Windows Защитник * Значение 1006 * правильно идентифицирует тестовую строку EICAR как вредоносную программу.
Однако при использовании McAfee исходная проблема заключалась в том, что было обнаружено вредоносное ПО, а тестовое приложение было просто заблокировано, а процесс завершен. Такое поведение, вероятно, будет хорошо для сценария Powershell. После обращения в McAfee наш отдел безопасности внес некоторые изменения, после чего тестовое приложение могло работать без остановки, но scanResult возвращается как 0 или 1. Это будет означать, что нет вредоносного ПО , которое является неправильным .
Мы работали с McAfee и отправили все виды журналов. Теперь они предложили нам сотрудничать с Microsoft, поэтому сейчас я спрашиваю об этом здесь.
Если это не относится к конфигурации, возможно, поставщик AMSI от McAfee не реализован должным образом , Я знаю, что это не чисто программная ошибка c, но, возможно, кому-то повезло с интеграцией в McAfee с использованием AMSI.
Есть идеи?