周六偷摸学习发现了一些有趣的工具/代码, 分享给大家. 简单的用来绕过AMSI(Windows Antimalware Scan Interface, Windows 反恶意软件扫...
02月09日21 views评论com
https
Interesting things share, 来点好玩的
02月09日21 views评论com
https
02月09日21 views评论com
https
powershell命令免杀的小工具
0x01 工具介绍powershell命令免杀的小工具,可过Defender、360等,可执行上线cobaltstrike、添加计划任务等。AMSI绕过+Automation执行powershell命...
01月17日86 views评论manage
powershell
patchless amsi学习
前言传统的通过patch内存AmsiScanBuffer,这个网上有很多文章,而且相对也比较简单,这里就不再解释了,但是patch这个动作势必会有一定的敏感性,比如你需要修改关键位置内存属性。本文要讲...
12月28日11 views评论context
寄存器
文本类型的免杀
Powershell与Amsipowershell作为Windows系统内置工具, Powershell脚本的功能十分强大,同时作为系统的功能组件不会被常规杀毒引擎查杀。兼具这两个有点,Powersh...
10月12日34 views评论powershell
scan
网络安全内网中级靶场02(内网信息收集利用和分析,躲避AMSI,RBCD攻击,基础win提权,密码收集)
00前言前面文章里面通过攻击两台Linux机子获取到了新的凭证并且可以访问CLIENT01这台Windows机器,这篇文章会讲讲如何攻击CLIENT01和旁边的SRV01。01信息收集和利用在远程登录...
07月12日121 views评论password
网络安全
AMSI原理与绕过(上)
TL;DR之前大概学过相关的技术但没认真研究和总结过,最近又研究学习了一下,这里做一下总结和分享。大家在渗透的时候都用过powershell,powershell的功能可谓非常之强大,常用于信息搜集、...
06月27日11 views评论powershell
windows
Understanding-and-bypassing-AMSI
基础知识反恶意软件扫描接口简称"AMSI",它是微软在Windows中阻止危险脚本执行的解决方案,AMSI理论上是一个好的解决方案,它通过分析正在执行的脚本然后根据是否发现恶意内容来阻止或允许,然而正...
06月27日21 views评论windows
函数
ASMI学习-总结
Microsoft 开发了 AMSI(反恶意软件扫描接口)作为防御常见恶意软件执行和保护最终用户的方法。默认情况下,Windows Defender 与 AMSI API 交互以在执行期间使用 Win...
06月21日28 views评论windows
恶意软件
绕过AMSI详细指南
Windows 开发了反恶意软件扫描接口 (AMSI) 标准,允许开发人员在其应用程序中集成恶意软件防御。AMSI 允许应用程序与系统上安装的任何防病毒软件进行交互,并防止基于脚本的动态恶意软件执行。...
05月10日16 views评论windows
恶意软件
AMSI调试及绕过
测试环境:工具环境:测试过程:首先我们要知道AMSI是一个什么东西,之前做过相关的分享,这里就不再去啰嗦其概念了,一句话概括,win10自带的一个扫描接口,其核心组件存在于amsi.dll内,与win...
03月26日99 views评论amsi
windows
AMSI持久化
前言AMSI(反恶意软件扫描接口)是一个的接口,可以与端点通信以防止执行恶意软件。端点执行的扫描是基于签名的,因此可以在执行任何脚本之前通过多种方法绕过。下面是通过修改注册表 使用AMSI来建立持久化...
02月24日87 views评论microsoft
恶意软件
应急响应 - 小技巧
通过PowerShell命令查找进程加载了DLL:ps | ? { $_.Modules.ModuleName -contains 'amsi.dll' }通过WMI命令识别带有已加载 DLL 的进程...
02月07日75 views评论data
name
6