通过向量异常处理程序 (VEH) 实现的 Powershell AMSI 绕过技术

admin
admin
admin
140350
文章
117
评论
2024年7月14日11:07:33评论13 views字数 598阅读1分59秒阅读模式
通过向量异常处理程序 (VEH) 实现的 Powershell AMSI 绕过技术

通过 VEH 绕过 AMSI

描述:

通过向量异常处理程序 (VEH) 实现的 PowerShell AMSI 绕过技术。此技术不执行汇编指令修补、函数挂钩或导入地址表 (IAT) 修改。

怎么运行的:

要使此技术发挥作用,您必须首先将 VEH DLL 注入到 PowerShell 进程中。这可以通过注入 DLL 或通过 DLL 劫持来完成。

该技术的工作原理是在所有 PowerShell 进程线程上的函数上设置硬件断点AmsiScanBuffer,然后安装 VEH 来处理该断点的触发。

线程调用 时AmsiScanBuffer,VEH 将使线程退出该函数而不执行任何操作,并将函数结果设置为AMSI_RESULT_CLEAN。这一切都在 VEH 内部完成,无需修改进程的代码,也无需修改任何 PE。

用法:

为了演示目的,此存储库包含一个非常基本的 DLL 注入器。请按以下方式使用它:

  • 1.) 编译 DLL 注入器和 VEH DLL。

  • 2.) 打开 PowerShell 实例。

  • 3.) 通过提供 DLL 的完整路径来运行 DLL 注入器。示例:

./DLL_Injector.exe C:WindowsTempAMSI_VEH.DLL

  • 4.) PowerShell 将打开一个 MessageBox 窗口以确认 VEH 安装。

通过向量异常处理程序 (VEH) 实现的 Powershell AMSI 绕过技术

https://github.com/vxCrypt0r/AMSI_VEH

原文始发于微信公众号(Ots安全):通过向量异常处理程序 (VEH) 实现的 Powershell AMSI 绕过技术

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月14日11:07:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过向量异常处理程序 (VEH) 实现的 Powershell AMSI 绕过技术https://cn-sec.com/archives/2952705.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息