メモリ ファイル内のマルウェア コンテンツを直接スキャンしたいのですが、どの方法が最適かを知りたいです。
私は、.net コアと Angular で開発された Web アプリケーションの Web サイト セキュリティ ポリシーの改善を担当しています。
OWASP の推奨事項を読みましたが、そのうちの 1 つはマルウェアのファイルをスキャンすることでした。ファイルをスキャンする 2 つの方法を特定しました。クラウドからサード パーティ API を呼び出すか、AMSI インターフェイスを呼び出します。クライアントは検証をオンプレミスで行うことを望んでいるため、インターネット経由でサードパーティに電話することは私にとって選択肢ではありません.
AMSI とは:
Windows Antimalware Scan Interface (AMSI) は、マシン上に存在する任意のマルウェア対策製品とアプリケーションやサービスを統合できるようにする多用途のインターフェイス標準です。AMSI は、エンド ユーザーとそのデータ、アプリケーション、およびワークロードに対して強化されたマルウェア保護を提供します。Windows AMSI インターフェイスが開いています。つまり、どのアプリケーションでも呼び出すことができます。また、登録されたマルウェア対策エンジンは、送信されたコンテンツを処理できます。
マルウェア コンテンツの http 要求を分析するために .net コアから AMSI インターフェイスを呼び出すことを選択しましたが、Symantec エンドポイント プロテクションがウイルス対策プロバイダーおよび AMSI のサブスクライバーとしてインストールされている一部のサーバーではテストが機能しません。AMSI はバイパスされているようです。
AMSI への呼び出しを eicar 標準コンテンツでテストすると、マルウェア コンテンツを含む投稿があったとしても、AMSI はマルウェアが検出されていないかのように結果を返します。そのため、AMSI がバイパスされているようです。
それを修正するために私ができることを知っていますか?AMSI がバイパスされているのはなぜですか? 何を確認または考慮すべきですか?
ファイルをスキャンするようにウイルス対策プログラムにコマンドを与えるために、キューからファイルをスキャンして .bat を実行する Windows サービスを開発する方がよいでしょうか? オンプレミスにインストールできるサードパーティの Web API はありますか?