Малварь как искусство Набор методов по обходу AMSI


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 168
Репутация
8 302
1703405780759.png


Этот репозиторий содержит некоторые методы обхода AMSI, которые были найдены в различных блогах.

Большинство скриптов обнаруживаются самим AMSI. Поэтому вам нужно найти триггер и изменить сигнатуру в этом месте путем переименования переменных/функций, замены строк или кодирования и декодирования во время выполнения.

Как альтернативу, вы можете обфусцировать их с помощью ISESteroids или Invoke-Obfuscation, чтобы заставить их работать.

В архиве примеры реализации методов обхода (Там текстовый файл README.md, безобидный, но его могут детектить АВ):

0. [Using Hardware Breakpoints](#Using-Hardware-Breakpoints "Goto Using-Hardware-Breakpoints")
1. [Using CLR hooking](#Using-CLR-hooking "Goto Using-CLR-hooking")
2. [Patch the provider’s DLL of Microsoft MpOav.dll](#Patch-the-providers-DLL-of-Microsoft-MpOav.dll "Goto Patch-the-providers-DLL-of-Microsoft-MpOav.dll")
3. [Scanning Interception and Provider function patching](#Scanning-Interception "Goto Scanning-Interception")
4. [Patching AMSI AmsiScanBuffer by rasta-mouse](#Patching-AMSI-AmsiScanBuffer-by-rasta-mouse "Goto Patching-AMSI-AmsiScanBuffer-by-rasta-mouse")
5. [Patching AMSI AmsiOpenSession](#Patching-AMSI-AmsiOpenSession "Goto Patching-AMSI-AmsiOpenSession")
6. [Dont use net webclient](#Dont-use-net-webclient "Goto Dont-use-net-webclient") - this one is not working anymore
7. [Amsi ScanBuffer Patch from -> Let There Be Change | Accenture Deutschland "Goto Amsi-ScanBuffer-Patch")
8. [Forcing an error](#Forcing-an-error "Goto Forcing-an-error")
9. [Disable Script Logging](#Disable-Script-Logging "Goto Disable-Script-Logging")
10. [Amsi Buffer Patch - In memory](#Amsi-Buffer-Patch---In-memory "Goto Amsi-Buffer-Patch---In-memory")
11. [Same as 6 but integer Bytes instead of Base64](#Same-as-6-but-integer-Bytes-instead-of-Base64 "Goto Same-as-6-but-integer-Bytes-instead-of-Base64")
12. [Using Matt Graeber's Reflection method](#Using-Matt-Graebers-Reflection-method "Goto Using-Matt-Graebers-Reflection-method")
13. [Using Matt Graeber's Reflection method with WMF5 autologging bypass](#Using-Matt-Graebers-Reflection-method-with-WMF5-autologging-bypass "Goto Using-Matt-Graebers-Reflection-method-with-WMF5-autologging-bypass")
14. [Using Matt Graeber's second Reflection method](#Using-Matt-Graebers-second-Reflection-method "Goto Using-Matt-Graebers-second-Reflection-method")
15. [Using Cornelis de Plaa's DLL hijack method](#Using-Cornelis-de-Plaas-DLL-hijack-method "Goto Using-Cornelis-de-Plaas-DLL-hijack-method")
16. [Use Powershell Version 2 - No AMSI Support there](#Using-PowerShell-version-2 "Goto Using-PowerShell-version-2")
17. [Nishang all in one](#Nishang-all-in-one "Goto Nishang-all-in-one")
18. [Adam Chesters Patch](#Adam-Chester-Patch "Goto Adam-Chester-Patch")
19. [Modified version of 3. Amsi ScanBuffer - no CSC.exe compilation](#Modified-Amsi-ScanBuffer-Patch "Goto Modified-Amsi-ScanBuffer-Patch")

Пароль:111

Скачено с гита:

Вам нужно авторизоваться, чтобы просмотреть содержимое.
 

Вложения

  • Amsi-Bypass-Powershell-master_zip.zip
    354.9 КБ · Просмотры: 8

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 168
Репутация
8 302
Рекомендую также ознакомится с репозиторием:
 
Верх Низ