AMSI:对大文件进行分块的恶意软件扫描

AMSI（Antimalware Scan Interface）是一种用于对大文件进行分块的恶意软件扫描的技术。它是微软在Windows 10中引入的一项安全功能，旨在提供更强大的恶意软件检测和防护能力。

AMSI的工作原理是将大文件分成多个块，并逐个块地传递给安全软件进行扫描。这种分块的方式可以提高扫描效率，减少内存占用，并且可以更好地应对恶意软件使用大文件进行隐藏的情况。

AMSI的优势在于它可以与各种安全软件和应用程序集成，提供实时的恶意软件检测和防护。它可以检测各种类型的恶意软件，包括病毒、木马、间谍软件等，并及时采取相应的防护措施。

AMSI的应用场景包括但不限于以下几个方面：

文件下载和传输：在文件下载和传输过程中，可以使用AMSI对文件进行实时的恶意软件扫描，确保文件的安全性。
邮件和附件扫描：AMSI可以与电子邮件客户端集成，对接收和发送的邮件及附件进行扫描，防止恶意软件通过邮件传播。
网络流量监测：通过在网络流量监测设备中集成AMSI，可以实时检测和阻止恶意软件的传播，保护网络安全。
终端安全软件：AMSI可以与终端安全软件集成，提供更强大的恶意软件检测和防护能力，保护终端设备免受恶意软件的侵害。

腾讯云提供了一系列与恶意软件扫描相关的产品和服务，可以与AMSI进行集成，提供全面的安全防护。其中包括：

云安全中心：提供实时的恶意软件检测和防护，帮助用户保护云上资源的安全。
云主机安全：提供云主机的安全防护，包括恶意软件扫描、漏洞扫描等功能。
云安全防护系统：提供全面的网络安全防护，包括恶意软件扫描、入侵检测等功能。

更多关于腾讯云安全产品的介绍和详细信息，可以访问腾讯云官方网站：腾讯云安全产品。

相关·内容

11.反恶意软件扫描接口 (AMSI)

Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准，可以集成在应用程序和服务与机器上存在的任何反恶意软件产品中。可以增强杀毒软件的查杀能力。...AMSI支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。 AMSI 还支持会话的概念，以便反恶意软件供应商可以关联不同的扫描请求。...） JavaScript 和 VBScript Office VBA 宏 AMSI的主要是针对无文件落地攻击，比如 powershell 无文件攻击、VBScript脚本，对脚本进行扫描。...AmsiScanBuffer() AmsiScanString() 扫描内容缓冲区和字符串以查找恶意软件，也是对 API 及其传入参数进行分析，根据结果作评分以判断是否应该查杀。...AMSI对这些接口进行检测，可以捕获宏的行为，并将所有相关信息（包括函数名称及其参数）记录在循环缓冲区中。

4.2K2 0

Antimalware Scan Interface (AMSI)—反恶意软件扫描接口的绕过

在本文中，我们将分析AMSI的工作原理并回顾复习一些现有的bypasses 总览：反恶意软件扫描接口（AMSI）是MicrosoftWindows保护系统，旨在保护计算机免受通过脚本语言（例如PowerShell...『1』它通过在执行之前分析脚本来工作，以确定该脚本是否为恶意软件。此外，它旨在通过每个评估步骤中递归调用来检测混淆的恶意软件。...以指示该样本不被认为是恶意的从内容与EICAR测试文件的比较可以看出，当内容被认为是恶意内容时，将返回AMSI_RESULT_DETECTED。...『7』为此，我们可以设计一个恶意DLL在运行时加载，以动态修补内存空间中的amsi.dll。...项目正在自动进行。

2.1K2 0

技术分享|amsi绕过总结

何为AMSI Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。...微软对他产生的目的做出来描述： Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准，允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。...AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关；它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。...它支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。AMSI 还支持会话的概念，以便反恶意软件供应商可以关联不同的扫描请求。...在执行之前，防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。 AmsiScanBuffer() AmsiScanString() amsi是所有杀毒软件都可以调用吗？

1.7K2 1

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

在Windows 10中，Microsoft的反恶意软件扫描接口（AMSI）被作为新功能被引入，作为标准接口，该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。...，AMSI扫描恶意程序的功能似乎是通过自己的COM服务器来实现的，该功能在COM服务器被实例化时被导出。...AmsiCloseSession之类的函数。在这个过程中如果我们强制COM实例化失败，那么AMSI将无法调用用来扫描恶意程序内容所需的函数方法。...这将导致其加载失败，并阻止任何扫描恶意软件的方法被访问，最终使得AMSI不可使用。...如您所见，现在正在查询注册表以查找AMSI的COM服务器：使用易受攻击的AMSI DLL，从图中可以看出我们现在可以执行COM服务器劫持：总结：尽管微软在补丁＃16232中对该漏洞进行了修复，但仍然可以通过使用旧的

2.7K7 0

A Detailed Guide on AMSI Bypass

文章前言 Windows提供了反恶意软件扫描接口(AMSI)标准，允许开发人员在其应用程序中集成恶意软件防御，AMSI允许应用程序与系统上安装的任何防病毒软件进行交互，并防止执行基于脚本的动态恶意软件，...我们将在本文中了解更多关于AMSI、代码实现和一些众所周知的绕过方法背景介绍可以使用一句话描述AMSI：AMSI是微软提供的基于脚本的恶意软件扫描API，可以集成到任何应用程序中，以扫描和检测用户输入的完整性...，从而保护应用程序，从而保护消费者免受恶意软件的侵害，例如:在应用程序将消息转发给接收者之前扫描带有AMSI的消息以查找恶意软件 AMSI独立于供应商并提供开放的Win32 API和COM接口供开发人员使用...给出了恶意软件的标准命名约定，例如:基于快捷方式的caphaw后门命名如下工作原理作为开发人员，您可以使用AMSI提供的AMSI进行恶意软件防御，假设您创建了一个应用程序，该应用程序输入一个脚本并使用...Powershell之类的脚本引擎执行它，在进行输入时可以调用AMSI以首先检查恶意软件，Windows提供COM和Win32 API来调用AMSI，AMSI的工作流程如下：正如您所见AMSI API

1.5K2 0

Antimalware Scan Interface Provider for Persistence

Windows 反恶意软件扫描接口 (AMSI) 是微软推出一种通用接口标准，允许的应用程序和服务与机器上存在的任何毒软件进行调用。...AMSI 为的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。 AMSI 与反恶意软件供应商无关；可以支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。...它支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。 AMSI 还支持会话的概念，以便杀毒软件可以关联不同的扫描请求。..., _Out_ AMSI_RESULT* result) 使用 AMSI Provider 实现持久化基于上面的知识，我们可以通过注册恶意的DLL为AMSI Provider，当触发反恶意软件的“扫描请求...”调用amsi接口时就可以触发我们的恶意DLL来进行维权，在原作者中的演示为通过在ASMI扫描特定单词的情况下触发我们的恶意DLL的执行并给出了scan方法的实例： HRESULT SampleAmsiProvider

7861 0

OffenSive Csharp Development Part5 && 星球来袭

本文是OffenSive Csharp Development的第五篇文章，主要讲解如何使用C#进行AMSI bypass。首先我们先来看一下什么是amsi。...AMSI的全称是反恶意软件扫描接口（Anti-Malware Scan Interface），是从Windows 10开始引入的一种机制。...AMSI是应用程序和服务能够使用的一种接口，程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务（如Windows Defender）。...服务和应用程序可以通过AMSI来与系统中已安装的反恶意软件通信。 AMSI为终端安全供应商提供了丰富的接口以帮助他们更好地对目标组件进行内存缓冲区安全扫描，或选择需要扫描的内容。...因为AmsiScanString会调用AmsiScanBuffer，所以我们一般patch掉AmsiScanBuffer来进行bypass amsi。

4716 0

干货 | 绕过AMSI实现免杀的研究和思路

何为AMSI Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。...微软对他产生的目的做出来描述： Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准，允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。...AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关；它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。...它支持允许文件和内存或流扫描、内容源 URL/IP 信誉检查和其他技术的调用结构。AMSI 还支持会话的概念，以便反恶意软件供应商可以关联不同的扫描请求。...它提供了通用的标准接口（COM接口、Win32 API）其中的COM接口，是为杀软供应商提供的，方便杀软厂商接入自身针对恶意软件的识别能力。有不少安全厂商已经接入了AMSI的接口。

8723 0

内存修补 AMSI 绕过

什么是 AMSI？反恶意软件扫描接口是一组 Windows API，允许任何应用程序与防病毒产品集成（假设该产品充当 AMSI 提供者）。...如果 AV 引擎认为其内容是恶意的，AMSI 将报告该内容并且 PowerShell 不会运行代码。对于在内存中运行且从未接触过磁盘的基于脚本的恶意软件来说，这是一个很好的解决方案。...任何应用程序开发人员都可以使用 AMSI 扫描用户提供的输入。...在这里，它将0x80070057移动到eax 中，绕过进行实际扫描并返回的分支。 80070057是一个HRESULT返回代码为E_INVALIDARG。...，但实际扫描结果是0 -通常被解释为AMSI_RESULT_CLEAN。

6975 0

MASC：一款功能强大的Web恶意软件扫描工具

MASC是一款功能强大的Web恶意软件扫描工具，在该工具的帮助下，广大研究人员可以轻松扫描和识别Web应用程序或服务器中潜在的恶意软件。...功能介绍 1、使用OWASP WebMalwareScanner校验和、YARA规则数据库和ClamAV引擎扫描任意Web应用程序或服务器以查找恶意软件； 2、执行清理操作以提升Web站点保护； 3、监控网站的更改...，详细信息写入日志文件； 4、扫描目标站点以了解它是否已感染某些恶意软件； 5、枚举本地备份； 6、日志支持； 7、备份网站信息； 8、恢复网站信息； 9、扫描可疑文件并与干净的安装进行比较（适用于Wordpress...WordPress的目标站点，扫描路径为「/var/www/html」： santi@zenbook:$ ..../masc.py --scan --site-type wordpress --path /var/www/html 下列命令可以执行站点清洁操作，并移除潜在的恶意软件： santi@zenbook:$

1311 0

红队笔记 - PowerShell AMSI Bypass

反恶意软件扫描接口（AMSI）打补丁将有助于绕过执行PowerShell脚本（或其他支持AMSI的内容，如JScript）时触发的AV警告，这些脚本被标记为恶意。...不要在隐蔽的操作中使用原样，因为它们会被标记出来。混淆，甚至更好的是，通过改变你的脚本来击败基于签名的检测，完全消除对AMSI绕过的需要。...普通 "的AMSI绕过例子： [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed...GET`TY`Pe"(( "{6}{3}{1}{4}{2}{0}{5}" -f'Util','A','Amsi','.Management.','utomation.'...g`etf`iElD"( ( "{0}{2}{1}" -f'amsi','d','InitFaile' ),( "{2}{4}{0}{1}{3}" -f 'Stat','i','NonPubli'

1.1K2 0

Understanding-and-bypassing-AMSI

基础知识反恶意软件扫描接口简称"AMSI"，它是微软在Windows中阻止危险脚本执行的解决方案，AMSI理论上是一个好的解决方案，它通过分析正在执行的脚本然后根据是否发现恶意内容来阻止或允许，然而正如我们稍后将讨论的那样...AmsiScanBuffer的结果，无论结果包含什么都将决定我们的脚本执行是否是恶意的理论上如果我们可以操纵结果是什么(即AMSI_RESULT_CLEAN)，然后我们应该能够对蓝队和EDR隐藏恶意脚本执行...函数hook 函数hook是一种在函数被调用之前对其进行控制的方法，这使我们作为攻击者可以做多种事情，例如：记录参数、允许/阻止功能的执行、覆盖传入函数的参数、并决定要返回的值，考虑到这一点我们需要找出...，因此现在我们需要设置一个基本项目，该项目接收一个字符串，然后使用AmsiScanBuffer扫描该字符串以查找恶意内容： #include #include <Windows.h...，用安全的字符串代替了危险的字符串(EICAR测试的那个)，那么现在我们如何阻止AMSI屏蔽我们恶意的powershell呢？

4261 0

如何使用TFsec来对你的Terraform代码进行安全扫描

TFsec TFsec是一个专门针对Terraform代码的安全扫描工具，该工具能够对Terraform模板执行静态扫描分析，并检查出潜在的安全问题，当前版本的TFsec支持Terraform v0.12...功能介绍检查所有提供的程序中是否包含敏感数据；检查目标代码是否违反了AWS、Azure和GCP安全最佳实践建议；扫描功能模块（目前只支持本地模块）；计算表达式和值；评估Terraform的功能函数...当然了，我们也可以使用go get来安装该工具： go get -u github.com/tfsec/tfsec/cmd/tfsec 工具使用 TFsec可以扫描指定的目录，如果没有指定需要扫描的目录...，那么TFsec将扫描当前所在的工作目录。...，我们可以使用—format参数来进行指定。

1.8K3 0

GreenPlum和openGauss进行简单聚合时对扫描列的区别

扫描时，不仅将id1列的数据读取出来，还会将其他列的数据也读取上来。一旦列里有变长数据，无疑会显著拖慢扫描速度。这是怎么做到的？在哪里设置的需要读取所有列？以及为什么要这么做？...1、首先，需要知道如何确定扫描哪些列。...函数对列进行提取，也就是targetlist和qual： 3、顺藤摸瓜，targetlist和qual来自哪里？...AGG： plan = create_plan_recurse(root,best_path,CP_EXACT_TLIST); 到扫描节点处的标签是CP_LABEL_TLIST了，所以use_physical_tlist...5、openGauss的聚合下列扫描仅扫描1列，它是如何做到的？

9813 0

绕过AMSI进行逃避审计

在之前的文章，hook rdp对外连接的账号密码中有提到利用Detours进行hook得到rdp的账号密码，今天正好看到绕过AMSI的文章，那我们今天继续利用这个库来达到绕过AMSI的目的。...1、AMSI是什么根据官方文档介绍，其叫反恶意文件扫描接口。然后AMSI的表现是什么呢，就是当你运行一个触发他的规则文件/命令时，就会出现如下的拦截信息： ?...因此我们的目的就是绕过AMSI，达到执行我们想要的文件/命令。 2、分析AMSI 通过分析AMSI，其检测机制大致为加载amsi.dll进行恶意文件扫描等操作： ?...然后再定义一个HookedAmsiScanBuffer函数，该函数中可以进行相应的hook操作，hook结束后，把对应的值回调回第一个OriginalAmsiScanBuffer函数来执行AmsiScanBuffer...在未注入前，恶意命令被AMSI拦截，注入后，成功hook绕过： ? ?

7101 0

对下载软件文件进行校验的工具（Checksum and GPG）

老装软件选手了，是该养成个校验文件的习惯了）。在互联网下载软件/文件的时候经常会看到官方提供了一段⌈校验和（checksum）⌋或包含校验和的文件供校验。常见的校验和有 md5、SHA 家族等。...还有部分软件/文件会提供 GPG 校验文件（signature file, SIG）给下载者进行校验。来看看这两种校验方式相关的工具。...校验和校验工具校验和（英语：Checksum）是冗余校验的一种形式。它是通过错误检测方法，对经过空间（如通信）或时间（如计算机存储）所传送数据的完整性进行检查的一种简单方法。...互联网上存在着部分软件/文件通过 GPG 密钥进行签名来证明其来源。...使用 GPG key 进行软件/文件校验的一般步骤如下： step 1：获取软件/文件作者的公钥（public key），导入到 GPG key 管理器； step 2：根据作者的 gpg key 指纹

1.8K3 0

AMSI调试及绕过

测试环境：工具环境：测试过程：首先我们要知道AMSI是一个什么东西，之前做过相关的分享，这里就不再去啰嗦其概念了，一句话概括，win10自带的一个扫描接口，其核心组件存在于amsi.dll内，...此时frida以及Hook住了amsi的相关函数，我们在powershell中输入字符串测试：我们虽然识别了对AmsiOpenSession、AmsiScanBuffer和AmsiCloseSession...首先是AmsiScanBuffer，默认如下：将其更改如下：此时我们再来进行测试：此时以及变得容易查看与观看，然后我们输入经典的Amsi测试语句：不出意外的被拦截了，我们换成绕过的语句：...从这个输入和输出，我们可以推断，WindowsDefender将“AmsiUtils”字符串标记为恶意。...YQBtAHMAaQBJAG4AaQB0AEYAYQBpAGwAZQBkAA=='))),'NonPublic,Static').SetValue($null,$true) 但现在已经会被标记并查杀了，我们这里对他进行增强

1.1K1 0

Turla PowerShell攻击手法学习

这个样本是在2019年5月中使用的一个powershell样本。背景 Turla，也被称为 Snake，是一个臭名昭著的间谍组织，以其复杂的恶意软件而闻名。...最近，它参与了对德国外交部和法国军队的重大攻击事件。为了混淆检测，在2019年中开始使用 PowerShell 脚本，这些脚本提供恶意软件可执行文件和库的直接内存加载和执行的能力。...在2019年中，Turla 改进了这些脚本，可以使用它们从其传统武器库中加载各种自定义恶意软件。这个样本是在东欧中的一次攻击中发现的。...旁路在 2019 年 3 月以来部署的一些示例中，Turla 开发人员修改了他们的 PowerShell 脚本以绕过反恶意软件扫描接口 (AMSI)。...它将AmsiScanBuffer的开头修改为始终返回 1 ( AMSI_RESULT_NOT_DETECTED )。因此，反恶意软件产品将不会接收缓冲区，从而阻止任何扫描。

7844 0

火绒安全软件再迭代，6.0版本正式上线！

二、硬核功能扩增，安全防护更精细火绒安全6.0基于PC用户的真实应用环境，进一步升级反病毒引擎等核心技术，增添内存防护、系统关键进程防护、潜在不受欢迎软件监控、启用AMSI高级扫描、web扫描-加密连接扫描...1.内存防护对混淆类恶意代码攻击和无文件攻击的场景进行深度防护，及时发现并阻止安全风险；当有威胁触发内存防护时，火绒将自动清除病毒，并进行弹窗提示。...3.潜在不受欢迎软件监控对潜在不受欢迎软件进行监控；当潜在不受欢迎软件运行时，火绒将进行弹窗提示。...4.启用AMSI高级扫描结合火绒虚拟技术对伪装病毒进行扫描，目前仅支持Windows10及以上系统，建议避开游戏时机启用。...5.web扫描-加密链接扫描对网络通信过程中使用SSL加密的数据的场景进行病毒扫描，支持用户进行自定义扫描；当发生扫描错误时，可自主选择扫描错误的处理方式。

1851 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云