Una nueva función llamada Interfaz de análisis antimalware , que permite que los AV 'vean' comandos Powershell ejecutados, se introdujo en Powershell v5.
Según adsecurity , esta función parece depender del conjunto System.Management.Automation.dll de todo el sistema:
Cuando el código se entrega al "motor" de PowerShell (System.Management.Automation.dll), se envía a la AMSI para que realice comprobaciones contra el malware.
¿Eso significa que AMSI no funcionaría si un script de PowerShell se ejecuta desde un ensamblado System.Management.Automation.dll incrustado en un ejecutable?