绕过AMSI实现免杀的研究和思路

最新推荐文章于 2024-06-15 09:50:07 发布
最新推荐文章于 2024-06-15 09:50:07 发布
阅读量3.7k 收藏 3
点赞数 1
分类专栏: 安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42766267/article/details/121275050
版权
本文介绍了AMSI(反恶意软件扫描接口)的工作原理及其在Windows中的应用,探讨了几种绕过AMSI检测的方法,包括dll劫持、降低powershell版本、混淆、利用反射修改内存中AmsiScanBuffer方法的检测长度以及内存补丁技术。每种方法都有其优缺点和实施细节,展示了黑客与安全防护之间的猫鼠游戏。
摘要由CSDN通过智能技术生成

何为AMSI

Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。

微软对他产生的目的做出来描述:

Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关;它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。它支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。AMSI 还支持会话的概念,以便反恶意软件供应商可以关联不同的扫描请求。例如,可以将恶意负载的不同片段关联起来做出更明智的决定,广州房评而仅通过孤立地查看这些片段就很难做出决定。

在Windows Server 2016和Win10上已经默认安装并启用。他的本体是一个DLL文件,存在于 c:\windows\system32\amsi.dll。

图片

它提供了通用的标准接口(COM接口、Win32 API)其中的COM接口,是为杀软供应商提供的,方便杀软厂商接入自身针对恶意软件的识别能力。有不少安全厂商已经接入了AMSI的接口。

官方架构图:

图片

目前AMSI功能已集成到Windows 10的这些组件中

•用户帐户控制或 UAC(EXE、COM、MSI 或 ActiveX 安装的提升)•PowerShell(脚本、交互使用和动态代码评估)•Windows 脚本宿主(wscript.exe 和 cscript.exe)•JavaScript 和 VBScript•Office VBA 宏

既然本质上是一个dll,那么就可以看下他的导出函数。

图片

当执行一些敏感字符串时,会发现powershell拒绝执行并报毒。

图片

查看powershell模块会发现加载了amsi.dll

图片

几种绕过的方式

dll劫持

再打开powershell进程时,会加载amsi进程,那么自然的就想到可以通过dll劫持,或者替换等方式来bypass。

dll加载的顺序:

•进程对应的应用程序所在目录•系统目录(通过 GetSystemDirectory 获取)•16位系统目录•Windows目录(通过 GetWindowsDirectory 获取)•当前目录•PATH环境变量中的各个目录

powershell.exe的路径为C:\Windows\System32\WindowsPowerShell\v1.0,百晓生只需要在同目录下置放一个名为amsi.dll的模块。

但是并不是随便一个模块都行,由于已经开启了amsi,如果错误加载会引起powershell崩溃,那么我们也无法执行命令。这里就要导出本来amsi.dll有的导出函数。

比如这里导出函数有个AmsiScanBuffer

图片

然后去msdn去找,文档里面有相关的函数说明并且有参数等等。

图片

#include "pch.h"#include <iostream> extern "C" __declspec(dllexport) void AmsiScanBuffer(HAMSICONTEXT amsiContext,    PVOID buffer, ULONG length, LPCWSTR contentName, HAMSISESSION amsiSession,    AMSI_RESULT * result); void AmsiScanBuffer(HAMSICONTEXT amsiContext, PVOID buffer, ULONG length,    LPCWSTR contentName, HAMSISESSION amsiSession, AMSI_RESULT* result) {
   }

这样一个一个去把导出函数写出。不要去直接include系统文件amsi,这样他那个文件里本来就有相关函数,这样会起冲突,直接把有些结构体粘过来就好了。

typedef struct HAMSICONTEXT {
      DWORD       Signature;          // "AMSI" or 0x49534D41    PWCHAR      AppName;           // set by AmsiInitialize    DWORD       Antimalware;       // set by AmsiInitialize    DWORD       SessionCount;      // increased by AmsiOpenSession} HAMSICONTEXT; typedef struct HAMSISESSION {
  <
最低0.47元/天 解锁文章
叶玄哥
关注
专栏目录
绕过AMSI详细指南:如何利用DLL hijack轻松绕过AMSI
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-04 1777
​在RingZer0开设的Red Teaming课程中,研究了DoubleAgent攻击手法。攻击者可以利用DoubeleAgent将任意代码注入到任何一个他想注入的进程中。并且由于注入发生在进程启动的一开始,因此攻击可以完全控制进程,而进程无法进行自我保护。我所关注的是反恶意软件扫描接口(AMSI)旁路绕过,这篇文章是对Cn33liz记录的原始DLL劫持方法的拓展,我的目标是找到一种逃避AMSI检测的新方法,我们只需要一个低权限用户可以进行写入的目录,即可绕过AMSI。 什么是AMSIAMSI为终
EDR查杀原理曝光及免杀绕过
摔不死的笨鸟的博客
09-22 1060
为了保护系统的安全和稳定性,从Windows 64位起,Windows机器有两种不同的运行模式:用户模式和内核模式,用户模式即我们平时使用各种应用程序时所处的交互模式,应用可以访问CPU和内存等资源,维持自身的正常运转。Meterpreter绕过了磁盘上基于签名的检测和使用系统调用的Shellcode检测,但在运行不到一分钟后又被报毒,这是一个基于行为的检测,由额外的DLL文件触发,通过普通 Win32 API 和反射 DLL 注入技术加载。从我目前的知识和观点来看,对此问题的非常简单的回答是——不!
针对 AMSI绕过技术
m0_71745258的博客
02-09 484
Antimalware Scan Interface(AMSI)译为反恶意软件扫描接口,它是一种防御机制,用于检查 PowerShell、UAC等是否有恶意数据传入。它主要针对在 PowerShell 或其他 AMSI 集成环境中执行的命令和脚本。如果检测到任何恶意内容,AMSI将停止执行并将其发送至 Windows Defender 进一步分析。目前防病毒软件更新迭代速度较快,具有许多发现恶意软件和威胁的检测机制。但是,当防病毒软件无法检查完全依赖于内存且不落在磁盘上的文件内容时,对 AMSI
**探索AmsiOpenSession:绕过安全检查的开源技术实践**
最新发布
gitblog_00011的博客
06-15 756
探索AmsiOpenSession:绕过安全检查的开源技术实践 AMSI_patchPatching AmsiOpenSession by forcing an error branching项目地址:https://gitcode.com/gh_mirrors/ams/AMSI_patch 在当今数字安全日益重要的时代,每一步技术的进步都伴随着安全挑战的增长。今天,我们深入探讨一个独特的开源项...
如何绕过AMSI
systemino的博客
06-16 1985
0x00 前言 AMSI的全称是反恶意软件扫描接口(Anti-Malware Scan Interface),是从Windows 10开始引入的一种机制。AMSI是应用程序和服务能够使用的一种接口,程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务(如Windows Defender)。 在基于场景的资产评估或者基于数据的红队评估中,许多渗透测试人员都会与AMSI打交道,因此...
Amsi-Bypass-Powershell:此仓库包含一些我在不同博客文章中发现的Amsi绕过方法
05-06
Amsi绕过Powershell 此回购包含一些我在不同博客文章中发现的一些反恶意软件扫描接口(AMSI绕过/避免方法。 大多数脚本由AMSI本身检测。 因此,您必须在运行时通过变量/函数重命名,字符串替换或编码和解码来查找并更改部件上的签名。 或者,通过ISESteroids和/或Infoke-Obfucation对它们进行混淆处理,以使它们起作用。 您也可以查看我的介绍了如何手动更改签名以再次获得有效的绕过。 -该客户端不再 尼尚合而为一 亚当·切斯特斯(Adam Chesters)补丁 3. Amsi ScanBuffer的修改后的版本-没有CSC.exe编译 通过rasta-mouse修补amsi.dll AmsiScanBuffer $Win32 = @" using System; using System.Runtime.InteropServices; publ
AmsiHook是我创建的一个项目,旨在通过功能挂钩找出对AMSI绕过。-C/C++开发
05-27
AmsiHook是我创建的一个项目,旨在通过功能挂钩找出对AMSI绕过AmsiHook AmsiHook是一个DLL,当注入包含AMSI日志记录的进程时,它将钩住AMSI函数并允许它们使用伪参数执行。 注释我编写了与该工具配合使用的注射器。 可以在此处找到另外,还要了解我如何开发此工具以及创建该工具的过程,请参见我的博客文章。
基于脚本的攻击或可绕过微软的反恶意软件扫描接口(AMSI
SAKAISON的博客
09-23 2374
写在前面的话 上个月,我在2016美国Black Hat黑客大会上讨论了一些关于微软反恶意软件扫描接口(AMSI)的内容。那场演讲和这篇文章中的内容是我对AMSI的一些个人见解,感兴趣的同学可以关注一下。 演讲PPT:[地址1][地址2] 在Windows 10中,微软公司引入了反恶意软件扫描接口(AMSI),这个接口可以用来扫描基于脚本的入侵攻击
abd shell关闭所有程序_HTTPrevshell:能绕过AMSI的PowerShell代理感知型反向Shell
weixin_36444881的博客
12-06 171
HTTP-revshellHTTP-revshell是一个能够绕过AMSI的PowerShell代理感知型反向Shell,这款工具转为红队研究人员以及渗透测试人员设计,能够通过HTTP/S协议来给研究人员提供一个反向Shell链接。HTTP-revshell使用了一种隐蔽的数据信道,可以通过Web请求来获取目标设备的控制权,从而绕过类似IDS、IPS和AV之类的安全解决方案。功能介绍SS...
《揭秘 AMSI_Bypass:一种绕过 AMSI 检查的技术实践》
gitblog_00093的博客
04-05 288
《揭秘 AMSI_Bypass:一种绕过 AMSI 检查的技术实践》 项目地址:https://gitcode.com/Ridter/AMSI_bypass 在网络安全领域,对抗恶意软件一直是重要的话题,而AMS(Antimalware Scan Interface)是Windows操作系统中用于检测和阻止恶意代码的关键机制。然而,任何防护系统都有可能被破解,这就是AMSI_Bypass项目的意义...
从项目中看BypassUAC和BypassAMSI
mai1zhi2的博客
04-21 804
1、概述 之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct System Call)执行,得以免杀主流杀软(火绒、360全部产品、毒霸等),该方式也是主流绕过3环AV、EDR、沙箱的常用手段。Ps:感谢邪八Moriarty的分享课。 2、简要介绍 该框架主要由四个项目组成: GenerateShellCode:负责生成相关功能的shellcode。 Encrypt.
免杀技术有一套(免杀方法大集结)
hackzkaq的博客
05-23 7281
零基础学黑客,搜索公众号:白帽子左一 00. 概述 什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就知道了。 01. 简介 免杀大概可以分为两种情况: 二进制的免杀(无源
windows10替换、更换默认powershell版本
u012149637的博客
02-12 2836
windows10替换默认powershell版本
远控免杀专题(23)-SharpShooter免杀
qq_41683305的博客
03-29 1494
转载:https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg 免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所...
AMSI对抗小结
热门推荐
wo41ge的博客
11-11 1万+
前言 AMSI是微软用来对抗无文件攻击而开发的安全模块,是当前攻防对抗前沿的技术 之一 从15年AMSI出现,越来越多的杀软厂商接入了AMSI接口,当前市面上主流杀软均接入此接口 这给当时以powershell为主的红队工具致命打击,像Empire,等等 总体来说,由于AMSI仅仅是一个连接应用程序和杀软程序的通道,微软主要还是在defender上做各种对抗,针对通道本身的加固较少。 红队工具也寻找了另外一条出路就是.Net,使用C#开发的红队工具随之兴起。 随着以.NET(C#)为基础的攻击技术的逐渐成熟
初步解决《powershell 的版本所引起的加载 FSharp 编译器问题》
心想事成
08-03 1070
初步解决powershell 的版本所引起的加载 FSharp 编译器问题 《
利用Powershell在IIS上自动化部署网站
weixin_30319097的博客
01-14 360
本文主要讲如何通过Powershell在IIS上自动化部署ASP.NET网站,而不涉及Powershell的基本语法,如果没有Powershell基础的同学也可以把本文作为学习Powershell的基石,通过学习本文中的脚本再去查阅具体的语法,可能会达到事半功倍的效果。 一般我们建立网站大致需要以下几个步骤: 1、安装.NET Framework 2、安装了IIS 3、注册、启用...
"Windows企业网络渗透测试与网络安全漏洞分析:AMSI特性详解
AMSI是一个灵活的接口标准,允许应用程序和服务与机器上存在的任何反恶意软件产品集成。AMSI为最终用户以及他们的数据、应用程序和工作负载提供了增强的恶意软件保护。AMSI与反恶意软件供应商无关;它旨在允许最常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值