Windows OS の SCCM、CCMEXEC、PowerShell、Regedit など多くのプロセスに SYMAMSI.DLL ファイルが挿入されている。
この挙動は、ランサムウェアやゼロディ攻撃、スローインフェクターからの保護や、機械学習の検出とチューニングを支援するため、OS レベルの動作を監視する目的で使用されるいくつかのフックの 1 つです。
この DLL は、ドロッパーによる Living Off The Land 攻撃、メモリ開放、プロセスジャンプなどを阻止するのに役立つ様々な呼び出しを監視し、通常の Windows 操作が乗っ取られたりマルウェアコードの出力に利用されたりしないようにします。