AMSI对抗小结

最新推荐文章于 2024-05-28 09:35:57 发布
最新推荐文章于 2024-05-28 09:35:57 发布
阅读量1.5w 收藏 6
点赞数 1
分类专栏: 内网渗透 文章标签: AMSI 杀软对抗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wo41ge/article/details/121278366
版权

前言

AMSI是微软用来对抗无文件攻击而开发的安全模块,是当前攻防对抗前沿的技术 之一

从15年AMSI出现,越来越多的杀软厂商接入了AMSI接口,当前市面上主流杀软均接入此接口

这给当时以powershell为主的红队工具致命打击,像Empire,等等

总体来说,由于AMSI仅仅是一个连接应用程序和杀软程序的通道,微软主要还是在defender上做各种对抗,针对通道本身的加固较少。

红队工具也寻找了另外一条出路就是.Net,使用C#开发的红队工具随之兴起。

随着以.NET(C#)为基础的攻击技术的逐渐成熟

AMSI在.NET 4.8引入了针对Assembly导入的内存扫描, 同时针对WMI的扫描也被加入到了AMSI当中

什么是AMSI

AMSI全称(Antimalware Scan Interface),反恶意软件扫描接口,他的本体是一个DLL文件

默认位置:c:\windows\system32\amsi.dll

image-20211016161926115

它提供了通用的标准接口(COM接口、Win32 API)

这些接口中 Win32 API是为正常应用程序提供的,方便正常程序调用这些API针对用户输入做扫描。

COM接 口,是为杀软供应商提供的,方便杀软厂商接入自身针对恶意软件的识别能力

WIN32 API

AmsiCloseSession 	    关闭由 AmsiOpenSession 打开的会话。

AmsiInitialize 	        初始化 AMSI API。

AmsiNotifyOperation 	向反恶意软件提供程序发送任意操作的通知。

AmsiOpenSession 	    打开可在其中关联多个扫描请求的会话。

AmsiResultIsMalware 	确定扫描结果是否指示应阻止内容。

AmsiScanBuffer 	        扫描缓冲区中的内容中寻找恶意软件。

AmsiScanString 	        扫描字符串中的恶意软件。

AmsiUninitialize 	    删除 AmsiInitialize最初打开的 AMSI API 实例。

重点关注AmsiScanBuffer、AmsiScanString、AmsiUacScan这三个函数

AMSI在Windows中的作用

AMSI在windows系统中被直接或间接的调用,主要分布在以下程序

1.用户账户控制,也就是UAC(EXE、COM、MSI、ActiveX的安装)

%windir%\System32\consent.exe

2.Powershell(脚本、交互式使用、动态代码求值)

System.Management.Automation.dll

3.Windows脚本宿主

wscript.exe cscript.exe

4.JavaScript、VBScript

%windir%\System32\jscript.dll %windir%\System32\vbscript.dll

5.Office VBA macros

VBE7.dll

6..NET Assembly

clr.dll

7.WMI

%windir%\System32\wbem\fastprox.dll

<

最低0.47元/天 解锁文章
每天都要努力哇
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于脚本的攻击或可绕过微软的反恶意软件扫描接口(AMSI
SAKAISON的博客
09-23 2348
写在前面的话 上个月,我在2016美国Black Hat黑客大会上讨论了一些关于微软反恶意软件扫描接口(AMSI)的内容。那场演讲和这篇文章中的内容是我对AMSI的一些个人见解,感兴趣的同学可以关注一下。 演讲PPT:[地址1][地址2] 在Windows 10中,微软公司引入了反恶意软件扫描接口(AMSI),这个接口可以用来扫描基于脚本的入侵攻击
Win11系统提示找不到amsi.dll文件的解决办法
file
03-30 399
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个amsi.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现amsi.dll丢失要怎么解决?
探索安全新边界:AmsiScanBufferBypass
最新发布
gitblog_00086的博客
05-28 263
探索安全新边界:AmsiScanBufferBypass 项目地址:https://gitcode.com/rasta-mouse/AmsiScanBufferBypass 1、项目介绍 在网络安全领域,对抗恶意软件的工具和机制不断演进,其中AMS(Antimalware Scan Interface)是Windows操作系统提供的一种重要防御手段。然而,正如万物皆有缝隙,AmsiScanBuff...
针对 AMSI 的绕过技术
m0_71745258的博客
02-09 430
Antimalware Scan Interface(AMSI)译为反恶意软件扫描接口,它是一种防御机制,用于检查 PowerShell、UAC等是否有恶意数据传入。它主要针对在 PowerShell 或其他 AMSI 集成环境中执行的命令和脚本。如果检测到任何恶意内容,AMSI将停止执行并将其发送至 Windows Defender 进一步分析。目前防病毒软件更新迭代速度较快,具有许多发现恶意软件和威胁的检测机制。但是,当防病毒软件无法检查完全依赖于内存且不落在磁盘上的文件内容时,对 AMSI
从项目中看BypassUAC和BypassAMSI
mai1zhi2的博客
04-21 785
1、概述 之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct System Call)执行,得以免杀主流杀软(火绒、360全部产品、毒霸等),该方式也是主流绕过3环AV、EDR、沙箱的常用手段。Ps:感谢邪八Moriarty的分享课。 2、简要介绍 该框架主要由四个项目组成: GenerateShellCode:负责生成相关功能的shellcode。 Encrypt.
amsi.dll
11-21
amsi
Understanding_and_Bypassing_AMSI.pdf
08-10
AMSI介绍 AMSI工作原理 Bypassing AMSI 总结与思考
amsi_bypassr:AMSI旁路分级发生器
03-18
【标题】"amsi_bypassr: AMSI旁路分级发生器"涉及到的是Windows操作系统中的反恶意软件扫描接口(Antimalware Scan Interface, AMSI)的规避技术。AMSI是Windows 10及以上版本中引入的一项功能,它允许应用程序调用...
DimensionReduction:AMSI 降维短期课程
07-24
降维这些是来自作为(AMSI) 冬季学校一部分的降维课程的笔记和材料。讲座这个短期课程包括: 动机主成分分析 (PCA) 多维尺度 (MDS) 内核主成分分析自编码器歧管等值线图局部线性嵌入拉普拉斯特征图降维技术的评估所有...
如何绕过AMSI
systemino的博客
06-16 1972
0x00 前言 AMSI的全称是反恶意软件扫描接口(Anti-Malware Scan Interface),是从Windows 10开始引入的一种机制。AMSI是应用程序和服务能够使用的一种接口,程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务(如Windows Defender)。 在基于场景的资产评估或者基于数据的红队评估中,许多渗透测试人员都会与AMSI打交道,因此...
c#调用VBS脚本
06-08
c#(winform)调用VBS脚本 c#(winform)调用VBS脚本
com组件 的劫持_一种劫持COM服务器并绕过微软反恶意软件扫描接口(AMSI)的方法...
weixin_39660922的博客
12-29 252
Microsoft的反恶意软件扫描接口(AMSI)在Windows 10中被引入,作为标准接口,它可以让AV引擎将签名应用于内存和磁盘上的缓冲区。这使得AV产品能够在脚本解释之前“hook”,这意味着任何经过混淆或加密的PS程序都经过了解密程序的解密。你可以在这里和这里阅读有关AMSI的更多信息。这篇文章将介绍一种通过劫持COM服务器来绕过AMSI的方式,并分析Microsoft是如何在build...
免杀------代替powershell执行语句免杀
m0_60571990的博客
11-08 313
免杀------代替powershell执行语句免杀
一种新的免杀方式
Shanfenglan's blog
06-30 616
文章目录原理遇到的坑代码具体操作参考文章 原理 利用c#模拟powershell,执行命令。 遇到的坑 用c#调用system.management.automation.dll实现powershell并执行命令的时候,是在powershell中执行命令,不是在cmd中执行powershell +命令。这个很关键。因此无法添加任何的启动命令例如-w -nop等。 代码 using System.Collections.ObjectModel; using System.Management.Automa
绕过AMSI实现免杀的研究和思路
qq_42766267的博客
11-11 3685
何为AMSI Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。 微软对他产生的目的做出来描述: Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关;它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。它支持允许文件和内存或流扫描、内容源 UR
PowerShell 安全专题之缓解措施篇
weixin_34190136的博客
09-25 494
本文讲的是PowerShell 安全专题之缓解措施篇, PowerShell v5 安全增强 在 PowerShell v5 中有几个令人信服的安全功能,使得它很有必要部署在生产环境。我曾在2015年的几个安全会议上提到过这些安全功能。 这些安全功能包括: 脚本块日志记录脚本块日志会记录 PowerShell 真正执行的代码,如果此功能被禁用,则只会记...
快速找出System.Management.Automation.dll,c#调用powershell
dibeichan3033的博客
05-19 788
public static void InvokeSystemPS(string cmd) { List<string> ps = new List<string>(); ps.Add("Set-ExecutionPolicy RemoteSigned"); ps...
ETW的攻与防
hongduilanjun的博客
09-14 2880
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值