在windows 2008 R2或2016中使用C#的反恶意软件扫描接口(AMSI)

在Windows 2008 R2或2016中使用C#的反恶意软件扫描接口（AMSI）

反恶意软件扫描接口（AMSI）是一种用于检测和阻止恶意软件的接口，它可以与Windows操作系统和应用程序集成。通过使用C#编程语言，我们可以在Windows 2008 R2或2016中利用AMSI来实现反恶意软件扫描。

AMSI的优势：

高效性：AMSI利用操作系统级别的扫描引擎，可以在运行时检测和阻止恶意软件，提供了更高效的安全保护。
实时保护：AMSI可以实时监测应用程序的行为，及时发现和阻止恶意软件的活动，提供了更强大的安全性。
灵活性：AMSI可以与各种编程语言和开发框架集成，包括C#，使开发人员能够轻松地实现反恶意软件扫描功能。

应用场景：

恶意软件检测：AMSI可以用于检测和阻止恶意软件的活动，包括病毒、木马、恶意脚本等，提供了更全面的安全保护。
文件扫描：AMSI可以用于扫描文件，检测其中是否包含恶意代码，防止恶意文件的传播和执行。
网络安全：AMSI可以用于检测和阻止网络传输中的恶意软件，包括恶意链接、恶意附件等，提供了更安全的网络环境。

推荐的腾讯云相关产品：腾讯云提供了一系列与云安全相关的产品，可以与AMSI结合使用，增强系统的安全性。以下是一些推荐的产品和其介绍链接地址：

云安全中心：提供全面的安全威胁检测和防护服务，包括恶意代码检测、漏洞扫描、入侵检测等。详情请参考：云安全中心
云堡垒机：提供安全审计、权限管理、行为审计等功能，帮助企业加强服务器和应用程序的安全性。详情请参考：云堡垒机
云防火墙：提供网络流量过滤和入侵检测功能，保护云服务器免受网络攻击。详情请参考：云防火墙

请注意，以上推荐的产品仅为示例，腾讯云还提供其他安全相关的产品和服务，具体可根据实际需求进行选择和使用。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Antimalware Scan Interface (AMSI)—反恶意软件扫描接口的绕过

在本文中，我们将分析AMSI的工作原理并回顾复习一些现有的bypasses 总览：反恶意软件扫描接口（AMSI）是MicrosoftWindows保护系统，旨在保护计算机免受通过脚本语言（例如PowerShell...『1』它通过在执行之前分析脚本来工作，以确定该脚本是否为恶意软件。此外，它旨在通过每个评估步骤中递归调用来检测混淆的恶意软件。...以指示该样本不被认为是恶意的从内容与EICAR测试文件的比较可以看出，当内容被认为是恶意内容时，将返回AMSI_RESULT_DETECTED。...这种bypass有多种版本，我将提交最新C＃版本嵌入在.ps1脚本中，该版本完全取自解码器的powershell。...代码中使用Add-Type即时编译C＃会使得文件落地，在编译阶段将一些*.cs放到临时目录中。

2.1K2 0

干货 | 绕过AMSI实现免杀的研究和思路

何为AMSI Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。...微软对他产生的目的做出来描述： Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准，允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。...AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关；它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。...它支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。AMSI 还支持会话的概念，以便反恶意软件供应商可以关联不同的扫描请求。...$PSVersionTable 在 Windows 7 和 Windows 服务器 2008 R2 以上版本，PowerShell 2.0 集成在所有 Windows 版本中。

8723 0

OffenSive Csharp Development Part5 && 星球来袭

本文是OffenSive Csharp Development的第五篇文章，主要讲解如何使用C#进行AMSI bypass。首先我们先来看一下什么是amsi。...AMSI的全称是反恶意软件扫描接口（Anti-Malware Scan Interface），是从Windows 10开始引入的一种机制。...AMSI是应用程序和服务能够使用的一种接口，程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务（如Windows Defender）。...服务和应用程序可以通过AMSI来与系统中已安装的反恶意软件通信。 AMSI为终端安全供应商提供了丰富的接口以帮助他们更好地对目标组件进行内存缓冲区安全扫描，或选择需要扫描的内容。...根据微软提供的信息，AMSI支持的组件有如下几种： 1、用户账户控制（UAC） 2、PowerShell（脚本、交互使用和动态代码计算） 3、Windows脚本主机（wscript.exe和cscript.exe

4716 0

Antimalware Scan Interface Provider for Persistence

Windows 反恶意软件扫描接口 (AMSI) 是微软推出一种通用接口标准，允许的应用程序和服务与机器上存在的任何毒软件进行调用。...AMSI 为的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。 AMSI 与反恶意软件供应商无关；可以支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。...::DisplayName要显示的反恶意软件提供商的名称 IAntimalwareProvider::Scan扫描内容流开发人员可以两种方式在应用程序中与 AMSI 交互通过使用 AMSI Win32..., _Out_ AMSI_RESULT* result) 使用 AMSI Provider 实现持久化基于上面的知识，我们可以通过注册恶意的DLL为AMSI Provider，当触发反恶意软件的“扫描请求...”调用amsi接口时就可以触发我们的恶意DLL来进行维权，在原作者中的演示为通过在ASMI扫描特定单词的情况下触发我们的恶意DLL的执行并给出了scan方法的实例： HRESULT SampleAmsiProvider

7861 0

11.反恶意软件扫描接口 (AMSI)

Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准，可以集成在应用程序和服务与机器上存在的任何反恶意软件产品中。可以增强杀毒软件的查杀能力。...AMSI支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。 AMSI 还支持会话的概念，以便反恶意软件供应商可以关联不同的扫描请求。...AMSI 的工作原理当用户执行脚本或启动 PowerShell 时，AMSI.dll 被注入进程内存空间。在执行之前，防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。...触发可疑行为当调用潜在的高风险函数或方法（触发器；例如，CreateProcess或ShellExecute）时，Office 将停止执行宏并通过 AMSI 接口请求扫描在那一刻之前记录的宏行为。...amsi是所有杀毒软件都可以调用吗？并不是！ amsi是在Windows 10 和 windows service之后才有的，然后并不是所有的杀毒软件都可以调用amsi接口。国内的基本不可以哈哈哈。

4.2K2 0

技术分享|amsi绕过总结

何为AMSI Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。...微软对他产生的目的做出来描述： Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准，允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。...AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关；它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。...它支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。AMSI 还支持会话的概念，以便反恶意软件供应商可以关联不同的扫描请求。...在执行之前，防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。 AmsiScanBuffer() AmsiScanString() amsi是所有杀毒软件都可以调用吗？

1.7K2 1

A Detailed Guide on AMSI Bypass

文章前言 Windows提供了反恶意软件扫描接口(AMSI)标准，允许开发人员在其应用程序中集成恶意软件防御，AMSI允许应用程序与系统上安装的任何防病毒软件进行交互，并防止执行基于脚本的动态恶意软件，...我们将在本文中了解更多关于AMSI、代码实现和一些众所周知的绕过方法背景介绍可以使用一句话描述AMSI：AMSI是微软提供的基于脚本的恶意软件扫描API，可以集成到任何应用程序中，以扫描和检测用户输入的完整性...，从而保护应用程序，从而保护消费者免受恶意软件的侵害，例如:在应用程序将消息转发给接收者之前扫描带有AMSI的消息以查找恶意软件 AMSI独立于供应商并提供开放的Win32 API和COM接口供开发人员使用...在阅读有关AMSI工作原理的更多信息之前，让我们先了解一下恶意软件是如何命名的，通常在分析中Windows会检测到恶意软件，但分析人员无法识别恶意软件的确切细节和行为，计算机防病毒研究组织(CARO)...Powershell之类的脚本引擎执行它，在进行输入时可以调用AMSI以首先检查恶意软件，Windows提供COM和Win32 API来调用AMSI，AMSI的工作流程如下：正如您所见AMSI API

1.5K2 0

内存修补 AMSI 绕过

什么是 AMSI？反恶意软件扫描接口是一组 Windows API，允许任何应用程序与防病毒产品集成（假设该产品充当 AMSI 提供者）。...如果 AV 引擎认为其内容是恶意的，AMSI 将报告该内容并且 PowerShell 不会运行代码。对于在内存中运行且从未接触过磁盘的基于脚本的恶意软件来说，这是一个很好的解决方案。...任何应用程序开发人员都可以使用 AMSI 扫描用户提供的输入。...AmsiUninitialize – 删除AMSI API 实例。 image.png 我们可以使用一些方便的 P/Invoke 在 C# 中复制它。...似乎没有任何应用程序实际检查返回码是否不是S_OK，并且只要扫描结果本身不等于或大于 32768 就会继续加载内容——这肯定是PowerShell 和 .NET 的案例。

6975 0

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

在Windows 10中，Microsoft的反恶意软件扫描接口（AMSI）被作为新功能被引入，作为标准接口，该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。...这使的反病毒产品能够在恶意程序的脚本被解释执行之前执行劫持操作，这在一定程度上意味着任何的代码混淆或加密都有相对应的例程去还原和解密程序。...：通过以上的分析最终我们可以发现，AMSI扫描恶意程序的功能似乎是通过自己的COM服务器来实现的，该功能在COM服务器被实例化时被导出。...这将导致其加载失败，并阻止任何扫描恶意软件的方法被访问，最终使得AMSI不可使用。...COM接口访问任何扫描恶意程序的方法，结果如下图所示：您可以在这里找到更改注册表的方法： https://gist.github.com/enigma0x3/00990303951942775ebb834d5502f1a6

2.7K7 0

Turla PowerShell攻击手法学习

这个样本是在2019年5月中使用的一个powershell样本。背景 Turla，也被称为 Snake，是一个臭名昭著的间谍组织，以其复杂的恶意软件而闻名。...为了混淆检测，在2019年中开始使用 PowerShell 脚本，这些脚本提供恶意软件可执行文件和库的直接内存加载和执行的能力。...在2019年中，Turla 改进了这些脚本，可以使用它们从其传统武器库中加载各种自定义恶意软件。这个样本是在东欧中的一次攻击中发现的。...旁路在 2019 年 3 月以来部署的一些示例中，Turla 开发人员修改了他们的 PowerShell 脚本以绕过反恶意软件扫描接口 (AMSI)。...它将AmsiScanBuffer的开头修改为始终返回 1 ( AMSI_RESULT_NOT_DETECTED )。因此，反恶意软件产品将不会接收缓冲区，从而阻止任何扫描。

7844 0

虹科分享｜您的遗留系统的安全性如何？

移除对Windows 7、8、8.1和Windows Server 2008 R2的支持将更多的设备转移到“永远不会被替换或打补丁”的类别中。...不幸的是，即使一个传统设备有计算来运行安全控制，如杀毒系统或EDR，你可以找到一个兼容的保护解决方案，它的扫描仪极不可能能够发现或阻止现代规避恶意软件。...他们还需要与他们的软件兼容——这两个因素排除了当今大多数业界领先的安全解决方案，如EPP、EDR和XDR/MDR。(遗留系统缺乏EDRs使用的基本机制，如通过AMSI的脚本扫描。)...Morphisec是一种提供超轻量级保护并兼容Windows 7、8、8.1和Windows 2008 R2设备和服务器的解决方案。...使用专利的移动目标防御(MTD)技术，Guard和Keep可以在树莓派上运行，同时防止最具破坏性的网络攻击，包括供应链攻击、零日、无文件/内存攻击、勒索软件和其他隐形和规避攻击。

2963 0

NimPackt:基于Nim的汇编程序封装器和Shellcode加载器

NimPackt是针对.NET（C#）可执行程序的封装工具，而且还可以实现在Windows系统上执行Shellcode。...该工具主要使用了下列两种技术： Execute-Assembly：重新封装一个.NET可执行文件并运行，可以选择需要使用的绕过技术，例如API解钩子、AMSI修复或金庸ETW等。...Shinject：可以接收一个.bin源码文件和位置独立的Shellcode，并在本地或远程进程中执行。也可以选择使用直接系统调用来触发Shellcode执行、或修复API钩子以绕过EDR。...功能介绍 1、使用静态系统调用实现EDR绕过； 2、使用ShellyCoat刷新NTDLL.dll来解除生成线程中的用户模式API钩子； 3、Windows事件跟踪（ETW）绕过； 4、反恶意软件扫描接口...（AMSI）绕过； 5、使用随机密钥的AES加密Payload，以防止静态分析或指纹识别； 6、支持编译为exe或dll； 7、支持跨平台编译（Linux和Windows）； 8、与CobaltStrike

6961 0

绕过AMSI进行逃避审计

在之前的文章，hook rdp对外连接的账号密码中有提到利用Detours进行hook得到rdp的账号密码，今天正好看到绕过AMSI的文章，那我们今天继续利用这个库来达到绕过AMSI的目的。...1、AMSI是什么根据官方文档介绍，其叫反恶意文件扫描接口。然后AMSI的表现是什么呢，就是当你运行一个触发他的规则文件/命令时，就会出现如下的拦截信息： ?...因此我们的目的就是绕过AMSI，达到执行我们想要的文件/命令。 2、分析AMSI 通过分析AMSI，其检测机制大致为加载amsi.dll进行恶意文件扫描等操作： ?...3、hook AMSI 在之前的文章，hook rdp对外连接的账号密码已经提到了一些Detours的用法，这里再说下其简单的用法。...在未注入前，恶意命令被AMSI拦截，注入后，成功hook绕过： ? ?

7101 0

Red Team 工具集之攻击武器库

员工的日常工作在电脑端经常用的就是一些办公软件、浏览器、邮件系统等，所以对应的攻击方式应运而生，比如钓鱼、恶意文件等，下面的这些工具、武器就是干这个活的。...，所以通过伪造签名就可以绕过反病毒的查杀，这个工具就是用来从一个有签名的软件中提取签名信息并伪造为恶意软件进行签名，当然，这个伪造的签名不是真实的。...https://github.com/tyranid/DotNetToJScript PSAmsi AMSI（反恶意软件扫描接口）是用来扫描应用内部是否存在恶意代码的接口，而这个工具就是通过检测 AMSI...签名来判断应用（如 powershell）中是否使用了 AMSI，然后通过各种方式绕过 AMSI 的扫描。...具体的说，当用户使用 PDF 阅读器打开一份恶意的 PDF 文档，该 PDF 会向远程 SMB 服务器发出请求，如果该远程 SMB 服务器对数据包进行抓取，就能够获得用户 Windows 系统的 Net

2.6K0 0

Understanding-and-bypassing-AMSI

基础知识反恶意软件扫描接口简称"AMSI"，它是微软在Windows中阻止危险脚本执行的解决方案，AMSI理论上是一个好的解决方案，它通过分析正在执行的脚本然后根据是否发现恶意内容来阻止或允许，然而正如我们稍后将讨论的那样...微软通过将amsi.dll加载到创建的每个进程中，这些进程会导出一些功能供防病毒和EDR使用，以及Windows Defender 查看amsi.dll中的导出结果发现一个看起来很有趣的函数AmsiScanBuffer.../windows/win32/api/amsi/nf-amsi-amsiscanbuffer 在AmsiScanBuffer的最后一个参数中我们看到有一个指向名为result的枚举的指针，我们可以确定我们应该读取结果以获得...扫描该字符串以查找恶意内容： #include #include #include #include #pragma...，我们使用与之前相同的绕过方式，只是传入一个安全字符串，因此AMSI不会标记真正的字符串如果我们使用调试器，我们实际上可以在反汇编AmsiScanBuffer的前几条指令时查看detours库在做什么

4261 0

红队笔记 - PowerShell AMSI Bypass

反恶意软件扫描接口（AMSI）打补丁将有助于绕过执行PowerShell脚本（或其他支持AMSI的内容，如JScript）时触发的AV警告，这些脚本被标记为恶意。...不要在隐蔽的操作中使用原样，因为它们会被标记出来。混淆，甚至更好的是，通过改变你的脚本来击败基于签名的检测，完全消除对AMSI绕过的需要。...普通 "的AMSI绕过例子： [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed...System.Reflection.Bindin'+'gFlags'))).SetValue($null,$True) 绕过方法混淆等，请参考Invoke-Obfuscation，或者在amsi.fail...用法虽然可以通过直接调用 Out-Cradle 函数来生成所有 cradle，但所有堆叠混淆组件的移动部分的复杂性使得使用 Invoke-CradleCrafter 函数成为探索和可视化 cradle

1.1K2 0

微软计划于2024年下半年逐步弃用VBScript

或 Microsoft Visual Basic Scripting Edition）。...微软在 Windows 10 的 Internet Explorer 11 中默认禁用了 VBScript，并在 2019 年 7 月的「补丁星期二」累积更新中禁用。...不过这只是微软移除威胁行为者用作攻击载体的 Windows 和 Office 功能战略的一部分，最终目的主要还是为了让用户免于感染恶意软件。...此前攻击者就在在恶意软件活动中使用了 VBScript，传播了 Lokibot、Emotet、Qbot 等病毒，以及 DarkGate 恶意软件。...微软的这个战略最早可以追溯到 2018 年，当时雷德蒙德将对其反恶意软件扫描接口（AMSI）的支持扩展到了 Office 365 客户端应用程序，从而遏制了利用 Office VBA 宏的攻击。

1571 0

15.Powershell恶意代码检测论文总结及抽象语法树（AST）提取

Microsoft反恶意软件扫描接口 (Microsoft’s Antimalware Scan Interface， AMSI) 内置于 Windows 10 中，允许防御系统在执行之前扫描传递给脚本引擎...在这项工作中，我们使用 AMSI 提供的信息对恶意 PowerShell 代码检测进行了首次研究。...在大多数情况下，PowerShell 恶意软件通过垃圾邮件传播，使用 Microsoft Word 文档组合以致命有效的负载感染受害者。如今，PowerShell的去混淆和分析仍然是基于人工分析。...但是，恶意软件向量也广泛使用它来执行有效负载或删除其他恶意内容。与恶意软件使用的其他脚本语言类似，PowerShell 攻击由于广泛使用多个混淆层而难以分析，这使得真正的恶意代码难以被发现。...Windows 为PowerShell提供了访问脚本AST的接口，使用内置接口获取的 AST 结构如图所示。 Microsoft. Ast Class（System. Management.

1.6K3 0

msf之CVE-2019-0708-Bluekeep漏洞利用模块

利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与2017年WannaCry恶意软件的传播方式类似。...从微软官方的消息一出，各大安全厂商都开始发布了漏洞预警，那段时间我也一直在找对应的POC，但要不就是不能利用的POC，要不就是利用以前漏洞写的POC，更有甚着点击attack后给你惊喜。...靶场环境漏洞环境,我当时就是虚拟机装了Windows7 SP1的系统， 001使用VM安装Windows7 SP1模拟受害机 Windows7 SP1下载链接(这里的靶机是使用清水表哥提供的win7sp1...Name -- ---- 1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64) 2 Windows 7 SP1 / 2008 R2 (6.1.7601...x64 - Virtualbox) 3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare) 4 Windows 7 SP1 / 2008

1.7K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云