問題タブ [virus-scanning]

メモリ ファイル内のマルウェア コンテンツを直接スキャンしたいのですが、どの方法が最適かを知りたいです。

私は、.net コアと Angular で開発された Web アプリケーションの Web サイト セキュリティ ポリシーの改善を担当しています。

OWASP の推奨事項を読みましたが、そのうちの 1 つはマルウェアのファイルをスキャンすることでした。ファイルをスキャンする 2 つの方法を特定しました。クラウドからサード パーティ API を呼び出すか、AMSI インターフェイスを呼び出します。クライアントは検証をオンプレミスで行うことを望んでいるため、インターネット経由でサードパーティに電話することは私にとって選択肢ではありません.

AMSI とは:

Windows Antimalware Scan Interface (AMSI) は、マシン上に存在する任意のマルウェア対策製品とアプリケーションやサービスを統合できるようにする多用途のインターフェイス標準です。AMSI は、エンド ユーザーとそのデータ、アプリケーション、およびワークロードに対して強化されたマルウェア保護を提供します。Windows AMSI インターフェイスが開いています。つまり、どのアプリケーションでも呼び出すことができます。また、登録されたマルウェア対策エンジンは、送信されたコンテンツを処理できます。

マルウェア コンテンツの http 要求を分析するために .net コアから AMSI インターフェイスを呼び出すことを選択しましたが、Symantec エンドポイント プロテクションがウイルス対策プロバイダーおよび AMSI のサブスクライバーとしてインストールされている一部のサーバーではテストが機能しません。AMSI はバイパスされているようです。

AMSI への呼び出しを eicar 標準コンテンツでテストすると、マルウェア コンテンツを含む投稿があったとしても、AMSI はマルウェアが検出されていないかのように結果を返します。そのため、AMSI がバイパスされているようです。

それを修正するために私ができることを知っていますか？AMSI がバイパスされているのはなぜですか? 何を確認または考慮すべきですか？

ファイルをスキャンするようにウイルス対策プログラムにコマンドを与えるために、キューからファイルをスキャンして .bat を実行する Windows サービスを開発する方がよいでしょうか? オンプレミスにインストールできるサードパーティの Web API はありますか?

C++ アプリケーションから PDF ファイルが添付された smtp メールを正しく送信できます。すべてのユーザーは、ラップトップまたはデスクトップ PC を使用している場合、メール クライアントから PDF 添付ファイルをダウンロードできますが、一部のユーザー (10 人中約 4 人のユーザー) は、自分のメール クライアントからメールを読もうとしても、添付ファイルをダウンロードできません。携帯電話 (主に iPhone で発生しますが、Android でも発生します)。

彼らは電子メール テキストを受信し、添付ファイルがあることを確認できますが、そのファイルは表示されず、開くことができません。

添付ファイルがウイルスとして検出され、ブロックされているようです。ユーザーがラップトップのメール クライアントで同じメールを開こうとすると、添付ファイルを読み取ることができます。

この問題を解決する解決策はありますか?

curl.exe と smtpclient ライブラリの両方で同じ問題があります。

これは、 smtpclient ライブラリに基づいて現在使用しているコードです。