Win10系统PowerShell,Ruby或VBScript脚本可防病毒
通过检查windows10平台可以避免恶意代码和空白字符,这是反恶意软件扫描接口(AMSI)中的弱点,它使软件开发人员能够使用商业安全解决方案来扫描文件。
微软已经专门创建了AMSI来审查使用PowerShell,Ruby或VBScript编写的脚本,这些脚本由于能够避免基于常见病毒数据库的检测而变得流行。
然而,安全研究人员Satoshi Tanda发现,如果脚本具有零字符,则AMSI文件会缩短。换句话说,只有一部分空白空间被扫描。忽略其余部分,尽管它可能包含不公平的命令。
对于防病毒也有警告
Tanda认为,为AMSI发布补丁就足够了。然而,与此同时,它指的是防病毒公司检查他们的产品是否正确处理零字符,以及错误是否也直接出现在他们的扫描内核上而不使用AMSI。
该漏洞似乎只涉及PowerShell命令。当使用Windows Script Host时,它没有显示出来。