py-amsi:一款基于AMSI的恶意软件扫描与识别工具

于 2024-02-18 15:02:31 发布
阅读量1k 收藏 16
点赞数 30
文章标签: 系统安全 AMSI 恶意软件检测 威胁识别 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/136150851
版权
本文介绍了py-amsi,一个基于WindowsAMSI接口的Python安全工具,用于检测恶意软件。文章详细讲解了AMSI的作用、安装方法(源码和pip)、以及如何使用其提供的scan_file和scan_string函数进行文件和字符串扫描,并列出了风险等级说明。
摘要由CSDN通过智能技术生成

关于py-amsi

py-amsi是一款基于Windows反恶意软件接口(AMSI)实现的强大安全工具,该工具可以利用AMSI扫描恶意软件相关的字符串与文件信息,以检测目标系统是否感染了恶意软件。

AMSI是Windows的原生接口,允许应用程序要求系统上安装的防病毒软件分析文件/字符串。需要注意的是,AMSI与Windows Defender无关。

什么是AMSI

Windows反恶意软件扫描接口(AMSI)是一种通用的接口标准,允许我们的应用程序和服务与计算机上的任何反恶意软件产品集成。AMSI可以为最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。

AMSI可以为反恶意软件产品提供最常见的恶意软件扫描和保护技术,这些技术可以集成到应用程序中,并可以执行文件和内存或流扫描、内容源URL/IP信誉检查以及其他技术。

工具安装

由于该工具部分功能使用Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。

源码安装

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Tomiwa-Ot/py-amsi.git

然后切换到项目目录下,执行安装脚本即可:

cd py-amsi/

python setup.py install

pip安装

除此之外,我们还可以直接使用pip工具安装py-amsi:

pip install pyamsi

工具使用

from pyamsi import Amsi

 

# 扫描一个文件

Amsi.scan_file(file_path, debug=True) # debug is optional and False by default

 

# 扫描字符串

Amsi.scan_string(string, string_name, debug=False) # debug is optional and False by default

 

# Both functions return a dictionary of the format

# {

#     'Sample Size' : 68,         // The string/file size in bytes

#     'Risk Level' : 0,           // The risk level as suggested by the antivirus

#     'Message' : 'File is clean' // Response message

# }

风险等级

风险等级

描述介绍

0

AMSI_RESULT_CLEAN (文件是良性的)

1

AMSI_RESULT_NOT_DETECTED (未检测到威胁)

16384

AMSI_RESULT_BLOCKED_BY_ADMIN_START (管理员已屏蔽此威胁)

20479

AMSI_RESULT_BLOCKED_BY_ADMIN_END (管理员已屏蔽此威胁)

32768

AMSI_RESULT_DETECTED (文件与恶意软件有关)

函数子模块

pyamsi.Amsi.scan_file

pyamsi.Amsi.scan_file(path, debug=False)

 

参数

    path (str): 要扫描的目标文件路径

    debug (bool): 显示调试信息 (默认=False, 可选)

 

返回

  字典:

    Sample Size =  字符串大小 

    Risk Level = AMSI 提供商标记的风险等级 

    Message = AMSI响应

pyamsi.Amsi.scan_string

pyamsi.Amsi.scan_string(text, name, debug=False)

 

参数

    text (str): 要扫描的字符串

    name (str): 字符串名称 

    debug (bool): 显示调试信息 (默认=False, 可选)

 

返回

  字典:

    Sample Size =  字符串大小 

    Risk Level = AMSI 提供商标记的风险等级 

    Message = AMSI响应

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

py-amsi:【GitHub传送门

参考资料

Antimalware Scan Interface (AMSI) - Win32 apps | Microsoft Learn

Index — py-amsi v1.11 documentation

pyamsi · PyPI

FreeBuf-
关注
  • 30
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
Wycheproof:一款针对加密代码库的安全强度测试工具
09-06 117
Wycheproof是一款功能强大的加密代码库安全强度检测工具,广大研究人员可以使用Wycheproof来测试加密库的安全健壮度。
博客
Buzzer:一款针对eBPF的安全检测与模糊测试工具
09-05 674
Buzzer是一款功能强大的模糊测试工具链,该工具基于Go语言开发,可以帮助广大研究人员简单高效地开发针对eBPF的模糊测试策略。
博客
新型PyPI攻击技术可能导致超2.2万软件包被劫持
09-05 1243
PyPI 软件包的攻击面正在不断扩大。尽管在此进行了主动干预,但用户仍应始终保持警觉,并采取必要的预防措施来保护自己和 PyPI 社区免受这种劫持技术的侵害。
博客
Monocle:一款基于LLM的二进制文件自然语言搜索工具
09-04 834
Monocle是一款基于LLM的二进制文件自然语言搜索工具,该工具由LLM驱动,用于对已编译的目标二进制文件执行自然语言搜索,并查找加密代码、密码字符串和安全缺陷漏等。
博客
尽快更新!Zyxel 路由器曝出 OS 命令注入漏洞,影响多个版本
09-04 601
近日,Zyxel 发布安全更新,以解决影响其多款商用路由器的关键漏洞,该漏洞可能允许未经认证的攻击者执行操作系统命令注入。
博客
MAT:一款针对MSSQL服务器的安全检测与审计工具
09-03 1189
MAT是一款针对MSSQL服务器的安全检测与审计工具,该工具使用C#开发,可以帮助广大研究人员快速识别和发现MSSQL 服务器中的安全问题,并实现安全检测与审计目的。
博客
因与媒体共享勒索事件实情,美国一研究人员被政府起诉
09-03 257
今年7月,哥伦布市曾遭到 Rhysida 勒索软件组织的攻击,导致公共机构的电子邮件和其他资源的系统中断。
博客
Wx64ST:一款轻松可修改的C语言Shellcode模板
09-02 1517
windows_x64_shellcode_template简称为Wx64ST,它是一款功能强大的Shellcode模板,该模板基于C语言编写,其简单、可扩展和易于修改等特性可以帮助广大安全研究人员轻松开发适用于Windows x64的Shellcode。
博客
GitHub项目评论被用来传播Lumma Stealer恶意软件
09-02 338
它能窃取加密货币钱包、私钥和名称为 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、单词、wallet.txt、*.txt 和 *.pdf 等名称的文本文件。
博客
LavaDome:一款基于ShadowDOM的DOM树安全隔离与封装工具
08-30 986
LavaDome是一款针对HTML代码安全和Web安全的强大工具,该工具基于ShadowDOM实现其功能,可以帮助广大研究人员实现安全的DOM节点/树隔离和封装。
博客
攻击者冒充VPN提供商对员工发起攻击,超130家公司已“中招”
08-30 852
威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中,这可能是作为社会工程攻击中的一种策略。
博客
如何使用WebSafeCompiler进行网站优化和知识产权保护
08-29 1280
它可以通过减小网站文件大小或提供持久的逆向工程保护来增强您的 Web 资源安全,确保您的代码可立即安全地部署。
博客
绿盟科技2024半年报:营收8亿,亏损2.55亿
08-29 1284
网络安全上市企业的情况一定程度上代表了整个行业的发展态势。8月底,网络安全厂商陆续发布了2024年半年报,FreeBuf将对行业头部厂商的半年报进行简要分析,仅供业内人士参考。
博客
如何使用poutine检测代码库构建管道中的安全缺陷
08-28 1305
当获得具有读取级别访问权限的访问令牌时,poutine可以分析组织的所有存储库,以快速了解组织软件供应链的安全状况。poutine是一款功能强大的缺陷检测工具,该工具基于Go语言开发,可以帮助广大研究人员快速扫描和检测代码存储库构建管道中的错误配置和安全漏洞。
博客
identYwaf:一款基于盲推理识别技术的WAF检测工具
08-27 1295
identYwaf所实现的盲推理通过检查一组预定义的测试性(非破坏性)Payload触发的响应来完成,这些响应仅用于触发中间的 Web 保护系统。
博客
记一次对某佛教系统的漏洞挖掘
08-27 786
简单记录一次漏洞挖掘,一个系统居然爆了这么多类型的洞,于是想记录哈。(比较基础,我是菜狗,大佬轻喷)。
博客
如何使用Kdrill检测Windows内核中潜在的rootkit
08-26 1170
Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性,并能够执行以下检查:1、已加载模块列表2、内存代码中的驱动程序3、内核对象和内部 ntoskrnl 列表的回调4、即插即用树和过滤器5、内核类型回调6、FltMgr 回调7、KTimers DPC 函数8、IRP 驱动程序表9、驱动程序使用回调签名全局变量10、NDIS 筛选器和回调NDIS filters and callbacks11、NetIO/FwpkCLNT 过滤调度。
博客
审计发现 FBI 的数据存储管理存在重大漏洞
08-26 383
据The Hacker News消息,美国司法部监察长办公室 (OIG) 的一项审计发现, FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在“重大漏洞”。此外,FBI表示正在安装一种保护性“笼子”,用作文件的存储点,这些文件将被视频监控全方位覆盖。OIG 希望 FBI 在 90 天内落实相应的整改。FBI 存储设施中使用的保护性铁笼。FBI 设施中暴露的存储设备托盘。
博客
SecretPixel:一款整合了多种技术的高级图像隐写工具
08-23 1188
1、高级加密:SecretPixel 使用 AES-256 加密数据,并使用 RSA 公钥加密技术进一步加密会话密钥。这种双层加密确保只有相应 RSA 私钥的持有者才能解密隐藏信息,从而提供高水平的安全性;2、压缩:加密前,使用 zlib 压缩数据以减小其大小。这不仅使流程更加高效,还有助于最大限度地减少可能被隐写分析工具检测到的模式;3、种子 LSB 隐写术:该工具采用种子随机数生成器来确定用于嵌入数据的像素位置。这种方法将隐藏位分散到整个图像中,使其更能抵抗 zsteg 等隐写分析工具的检测;
博客
官方强烈建议更新,关键漏洞影响GitHub Enterprise Server 所有版本
08-23 603
近日,GitHub Bug Bounty 计划报告了一个影响 GitHub Enterprise Server(GHES)当前所有支持版本的关键漏洞(CVE-2024-6800),该漏洞可能允许攻击者获得对该实例内容的无限制访问。目前,漏洞已经解决,强烈建议管理员尽快更新,以确保系统安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值