建议瑞星利用系统中的AMSI的辅助进行高级防御，捕获内存中的病毒。


资料：
微软开发出了反恶意软件扫描接口(AMSI)工具，可以在内存中捕捉恶意脚本。任何应用程序都可以调用这个接口，任何注册反恶意软件引擎都能处理提交给AMSI的内容。Windows Defender 、ESET和AVG目前正在使用AMSI，这一接口应该被更广泛地采纳。
NoSoSecure渗透测试员兼助理顾问在黑帽大会的演讲上说：“AMSI是Windows系统上封锁脚本攻击的一大步。”
网络罪犯们越来越依赖于脚本攻击，尤其是那些用PowerShell执行的脚本，这些脚本组成了他们攻击行动中不可或缺的部分。由于很难与合法行为区分开来，公司企业很难发现采用PowerShell的攻击。而且，因为PowerShell脚本可用于管理系统和网络的方方面面，恢复起来也十分困难。尤其是现在每个版本的Windows都预载了PowerShell，基于脚本的攻击就变得更加常见了。
罪犯们开始采用PowerShell，在内存中加载脚本，但防御者想要赶上却还需要时间。直到几年前，才有人开始注意到PowerShell。恶意脚本根本就不会被检测到。杀毒软件厂商直到3年前才开始领会到PowerShell的能量。
检测存在硬盘上的脚本不难，但阻止内存中的脚本运行就不容易了。AMSI试图在主机层级捕获脚本，也就是说，输入方式——无论是存在硬盘上，留在内存里，还是交互启动，无关紧要！AMSI是游戏规则颠覆者。
然而，AMSI不能独立运行，因为其有用性依赖于其他安全方法。执行脚本攻击很难不产生日志，所以，Windows管理员定期检查PowerShell日志就显得十分重要了。
AMSI并不完美——经混淆编码的脚本，或者从WMI名字空间、注册表、事件日志等非常规位置加载的脚本，就不太会被AMSI检测出来。不用powershell.exe执行(可用网络策略服务器之类的工具)的PowerShell脚本也会使AMSI失效。绕过AMSI的方法也有很多，比如修改脚本签名、使用 PowerShell 2 、或者禁用AMSI。但无论如何，AMSI是Windows管理的未来。


希望瑞星能利用该接口增强防御能力。

用户系统信息：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Edge/14.14393

建议已收集。