Win10BUG：恶意代码通过空字符绕过安全检查_IT采购网

Win10BUG：恶意代码通过空字符绕过安全检查

政府采购信息网作者：发布于：2018-02-26 10:15:28 来源：太平洋电脑网

　　Windows 10系统中防恶意程序扫描接口（AMSI）中存在的BUG，如果代码中包含空字符就能够跳过恶意程序的检测。Windows 10系统的AMSI是一种安全设置，扮演着应用程序和防病毒软件的中介作用。它允许程序发送给防病毒软件来检查它们所使用的文件是否安全。

　　AMSI最重要的功能就是在应用启动的时候检测可执行文件，并扫描启动后可能会打开的后续资源文件。攻击者可以使用运行在其他合法软件上的PowerShell脚本程序进行伪装，从而规避传统基于签名防病毒引擎，因此这种攻击方式日益受到黑客的青睐。

　　研究人员Satoshi Tanda发现，这个BUG会导致AMSI扫描的文件被截断为空字符。这就意味着攻击者可以通过将恶意代码放置在空字符之后来轻松隐藏脚本中的恶意代码。由于AMSI永远不会读取此代码，因此恶意程序在没有警告响起的情况下通过。

　　该BUG已经在最近的补丁星期二活动中进行修复。

本网发布内容凡注明来源为政府采购信息网/政府采购信息报的，表明“政府采购信息网/政府采购信息报”拥有其版权或已获得授权，内容形式包括但不限于文字、图片、音频、视频等。如需转载请注明来源于政府采购信息网/政府采购信息报，标注作者，并保持文章的完整性。否则，将追究法律责任。

其他来源稿件，本网已标明出处及作者，转载仅为信息分享，如涉及版权等问题，请相关权益人及时与我们联系。