探秘AMSI Write Raid:绕过安全防线的开源宝剑

最新推荐文章于 2024-06-15 09:50:07 发布
最新推荐文章于 2024-06-15 09:50:07 发布
阅读量262 收藏 4
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00022/article/details/139695855
版权

探秘AMSI Write Raid:绕过安全防线的开源宝剑

项目介绍

在信息安全的战场上,每一场无声的攻防战都扣人心弦。今天,我们要介绍的是名为“AMSI Write Raid”的漏洞发现项目,一项旨在绕过Windows系统中的重要防护机制——Antimalware Scan Interface(AMSI)的技术。开发者以独特的视角揭示了一条不寻常的路径,这条路径可以让攻击者无需常规的VirtualProtect API调用,直接篡改原本应受保护的内存区域,进而绕过层层安全网。

项目技术分析

通常情况下,应用程序依赖的DLL函数和数据的内存地址位于导入地址表(IAT)中,并被标记为只读。任何试图修改这些地址的行为都需要先通过VirtualProtect来改变其权限。然而,“AMSI Write Raid”发现了这样一个异常:一个天然可写入的入口点,这让绕过AMSI检查变得可能,而无需触动AV和EDR产品监控的敏感神经——VirtualProtect调用。

这一发现非同小可,因为多数现代杀毒软件及终端检测与响应系统(EDRs)依赖于AMSI功能来进行恶意代码检测,因此绕过了AMSI,等同于间接绕过了市场上的众多安全软件。

项目及技术应用场景

在网络安全研究、渗透测试以及软件安全加固领域,"AMSI Write Raid"犹如一盏探照灯,照亮了防护体系的一个盲区。对于安全研究人员而言,它是一个宝贵的工具,用于验证和理解当前安全措施的局限性。通过模拟攻击行为进行防御策略的校验,帮助企业强化其安全防护机制。而在合法的渗透测试环境中,此技术能帮助评估系统对高级威胁的抵抗力,确保系统的安全性得到实时检验和提升。

项目特点

  • 颠覆传统思维:挑战了普遍认为的所有关键内存修改均需权限更改的认知。
  • 隐蔽性强:绕过主流的安全检查机制,减少被安全软件识别的风险。
  • 针对性测试工具:为安全社区提供了一个强大的测试平台,用于验证和防御高级持续性威胁。
  • 跨版本适用性:已测试成功于Windows 11最新构建版本,展现出广泛的适用性和时效性。

AMSI Write Raid不仅是一次技术突破,更是信息安全领域的一面镜子,映射出安全与攻击之间的永恒博弈。对于致力于提高系统安全性,尤其是Windows生态下的开发者与安全专家而言,这个项目无疑是一座亟待探索的宝藏。通过深入了解并学习如何防范此类漏洞,我们共同守护数字世界的宁静。

谢璋声Shirley
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
绕过AMSI详细指南:如何利用DLL hijack轻松绕过AMSI
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-04 1759
​在RingZer0开设的Red Teaming课程中,研究了DoubleAgent攻击手法。攻击者可以利用DoubeleAgent将任意代码注入到任何一个他想注入的进程中。并且由于注入发生在进程启动的一开始,因此攻击可以完全控制进程,而进程无法进行自我保护。我所关注的是反恶意软件扫描接口(AMSI)旁路绕过,这篇文章是对Cn33liz记录的原始DLL劫持方法的拓展,我的目标是找到一种逃避AMSI检测的新方法,我们只需要一个低权限用户可以进行写入的目录,即可绕过AMSI。 什么是AMSIAMSI为终
绕过AMSI实现免杀的研究和思路
qq_42766267的博客
11-11 3682
何为AMSI Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。 微软对他产生的目的做出来描述: Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关;它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。它支持允许文件和内存或流扫描、内容源 UR
探秘Chimera:绕过安全防护的PowerShell代码混淆利器
gitblog_00031的博客
05-14 380
探秘Chimera:绕过安全防护的PowerShell代码混淆利器 项目地址:https://gitcode.com/tokyoneon/Chimera 在网络安全的世界里,总有那么一些工具,它们的存在既是对安全挑战的回应,也是对技术创新的致敬。Chimera就是这样一款工具,它是一款专门设计用来绕过AMSI(Antivirus Message Signaling Interface)和杀毒软件...
**探索AmsiOpenSession:绕过安全检查的开源技术实践**
gitblog_00011的博客
06-15 742
探索AmsiOpenSession:绕过安全检查的开源技术实践 项目地址:https://gitcode.com/SaadAhla/AMSI_patch 在当今数字安全日益重要的时代,每一步技术的进步都伴随着安全挑战的增长。今天,我们深入探讨一个独特的开源项目——AmsiOpenSession,这是一次对Windows AMSI(应用程序级恶意软件防护)机制的深度剖析与技术挑战。 项目介绍 Ams...
Windows Defender 绕过(RTO I Lab环境实测)
0pr
12-17 1475
这篇文章尝试了一下在 PEN300 课程之外的环境里面,Windows Defender 绕过的应用效果。在 RTO Lab 中看了一下 WD 的 Exclusion 设置,并没有添加任何文件和文件夹。意味着 WD 的运行应该就是真实环境中的那样,并没有任何干预。之后,再次用相同的 Payload 在 Data Center 2022 上做了一样的测试。Cobalt Strike 生成的被检测到并删除,而我们的 Payload 健在。
如何绕过AMSI
systemino的博客
06-16 1970
0x00 前言 AMSI的全称是反恶意软件扫描接口(Anti-Malware Scan Interface),是从Windows 10开始引入的一种机制。AMSI是应用程序和服务能够使用的一种接口,程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务(如Windows Defender)。 在基于场景的资产评估或者基于数据的红队评估中,许多渗透测试人员都会与AMSI打交道,因此...
全面绕过:深入探索FullBypass——PowerShell安全研究的利器
gitblog_00074的博客
05-30 384
全面绕过:深入探索FullBypass——PowerShell安全研究的利器 项目地址:https://gitcode.com/Sh3lldon/FullBypass 在网络安全与攻防的世界里,每一项技术的出现都可能成为对决中的关键。今天,我们将一同揭开【FullBypass】的神秘面纱,一个专为技术研究人员设计,用于规避AMSI(反恶意软件扫描接口)和PowerShell CLM(受限制语言模式...
使用InjectAmsiBypass:巧妙避开 AMSI 检测的安全工具
gitblog_00070的博客
04-27 363
使用InjectAmsiBypass:巧妙避开 AMSI 检测的安全工具 项目地址:https://gitcode.com/boku7/injectAmsiBypass InjectAmsiBypass 是一个开源项目,旨在帮助安全研究人员和开发者理解如何绕过 Windows 的反恶意软件扫描接口(AMSI)。该项目提供了一种技术手段,演示了如何在运行时注入代码以规避 AMIS 检查,这对于测试软...
Xencrypt:反病毒绕过工具
weixin_43977912的博客
04-26 366
今天给大家介绍的这款工具名叫Xencrypt,它是一款基于PowerShell脚本实现的反病毒绕过工具。如果你不想花时间对类似invoke-mimikatz这样的PowerShell脚本进行混淆处理以避免其被检测到的话,那么Xencrypt就是你的最佳选择了。Xencrypt能够自动对目标脚本代码进行处理,并且可以生成近乎无限量的变种代码,以帮助研究人员绕过基于签名机制的反病毒检测产品。 从本质上来说,Xencrypt是一款PowerShell代码加密工具,它使用了AES加密算法以及Gzip/DEFLATE
amsi_bypassr:AMSI旁路分级发生器
03-18
这表明它不是一种全新的旁路技术,而是将已知的AMSI绕过代码自动化处理,以创建可执行的绕过策略。@_RastaMouse 是对此做出贡献的开发者,他可能发现了某些AMSI的漏洞或者弱点,并通过这个脚本分享了这些知识。 在...
amsi-bypass:另一个AMSI旁路-但在C中
03-21
这个标题表明存在一种新的方法或技术,可以避开AMSI的检查,可能被用于绕过安全防护。 描述中的 "绕过旁路" 强调了这个话题的核心,即如何规避AMSI安全机制。这通常涉及到对AMSI接口的深入理解,以及如何利用这种...
Amsi-Bypass-Powershell:此仓库包含一些我在不同博客文章中发现的Amsi绕过方法
05-06
Amsi绕过Powershell 此回购包含一些我在不同博客文章中发现的一些反恶意软件扫描接口(AMSI绕过/避免方法。 大多数脚本由AMSI本身检测。 因此,您必须在运行时通过变量/函数重命名,字符串替换或编码和解码来...
NoAmci:使用DInvoke修补AMSI.dll,以绕过通过Assembly.Load()加载.NET tradecraft时触发的AMSI检测。
03-20
一个PoC,用于使用DInvoke修补AMSI.dll,以绕过通过Assembly.Load()加载.NET tradecraft时触发的AMSI检测。可以压缩.Net tradecraft进行编码,编码(如果需要,可以加密),以使程序集大小小于1MB,然后将其嵌入为...
AmsiHook是我创建的一个项目,旨在通过功能挂钩找出对AMSI绕过。-C/C++开发
05-27
AmsiHook是我创建的一个项目,旨在通过功能挂钩找出对AMSI绕过AmsiHook AmsiHook是一个DLL,当注入包含AMSI日志记录的进程时,它将钩住AMSI函数并允许它们使用伪参数执行。 注释我编写了与该工具配合使用的注射...
主板诊断卡简要说明书.doc
07-17
说明书
出入库表-进销存明细表-Excel模板
07-17
【作品名称】:出入库表-进销存明细表-Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
ActivePerl-5.8.8.819-MSWin32-x64-267479.msi
07-17
ActivePerl-5.8.8.819-MSWin32-x64-267479.msi X64 编译MTK功能机必要的组件,网上已经绝版了
torchaudio-0.10.1+cu113-cp38-cp38-win_amd64.whl
最新发布
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
Windows 企业网络渗透测试.pdf
10-06
在渗透测试中,对Windows企业网络进行全面的安全测试是至关重要的,而AMSI作为一个重要的安全特性,可以帮助检测和应对潜在的恶意软件威胁。 网络安全渗透测试是评估企业网络系统和应用程序的安全性,以发现存在的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢璋声Shirley

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值