Sophos网络安全分析师的分析表明，希望绕过 Microsoft 的反恶意软件扫描接口 (AMSI) 的网络犯罪分子和安全研究人员通常会选择四种常用方法之一。

AMSI 是微软的“反恶意软件交通警察”，正如 Sophos 所描述的，它使软件能够扫描文件、内存或流中的恶意代码，而不管软件供应商是谁。

借助 AMSI，防病毒程序可以分析 Microsoft 组件和应用程序，例如 PowerShell 引擎和脚本主机、Office 文档宏（在工作人员中传播恶意代码的最流行方法之一）、.NET Framework 组件或 Windows Management Instrumentation (WMI)组件。

Sophos 表示，黑客（恶意的和良性的）通常有四种主要方式绕过 AMSI：使用 PowerShell 代码（一种古老但非常流行的方法），通过弄乱已经加载到内存中的 AMSI 库的代码（超过 98 % 的绕过尝试集中在此方法上），方法是加载 amsi.dll 的伪造版本，或将脚本引擎降级到比 AMSI 更旧的版本。 AMSI 黑客

虽然这些是四种最流行的方法，但 Sophos 表示还有其他方法也围绕着“远离与 AMSI 交互的进程”展开。在一些极端情况下，例如 Ragnar Locker，攻击者会带来整个虚拟机来隐藏他们的脚本不被检测到。

研究人员表示，AMSI 的主要目标之一是保护其场所免受使用微软自有组件的野外生存 (LOL) 策略的影响，并帮助开发人员加强他们自己工具的网络安全态势。

勒索软件的日益流行使 AMSI 在保持 Windows 10 和 Windows Server 系统安全方面变得非常重要。

“但 AMSI 不是灵丹妙药，”Sophos 总结道。这是对任何人的网络安全武器库的一个很好的补充，但是“纵深防御”，利用端点和网络上的混合检测，对于保护一个人的场所至关重要。