微软AMSI绕过利用【附PoC】

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay.com不想错过任何消息？设置星标↓ ↓ ↓本文适合有一定Windows逆向基础的童鞋阅读，PoC完整代码可拉至文末查看。目录背景介绍AMSI 背景逆向分析攻击入口在PowerShell中编写绕过代码内存中汇编与虚拟函数获取 AmsiScanBuffer 地址脚本搜索脚本参数脚本循环虚拟函数注入完全绕过 AMSI 写入 Raid背景介绍微软的反恶意软件扫描接口 (AMSI) 在 Windows 10 和更高版本的 Windows 中提供，旨在帮助检测和预防恶意软件。AMSI 是一个接口，它将各种安全应用程序（例如防病毒或反恶意软件软件）集成到应用程序和软件中，并在执行之前检查它们的行为。国外研究者 Victor Kh ………………………………