FullBypass安全分析了解Windows AMSI保护机制及其绕过方法【免费下载链接】FullBypassA tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language Mode) and gives you a FullLanguage PowerShell reverse shell.项目地址: https://gitcode.com/gh_mirrors/fu/FullBypass在当今的网络安全环境中Windows系统的AMSI反恶意软件扫描接口保护机制已成为防御恶意脚本攻击的重要防线。然而FullBypass工具的出现揭示了AMSI机制的安全漏洞为安全研究人员提供了深入理解Windows安全机制的机会。本文将详细分析FullBypass工具的工作原理探讨AMSI保护机制的局限性并解释如何通过内存劫持技术实现绕过。 Windows AMSI保护机制深度解析AMSIAntiMalware Scan Interface是微软在Windows 10和Windows Server 2016中引入的安全框架旨在检测和阻止恶意脚本的执行。AMSI通过集成到Windows PowerShell、JavaScript、VBScript等脚本引擎中实时扫描脚本内容防止恶意代码的执行。AMSI的核心工作原理基于动态扫描机制当脚本执行时AMSI会拦截脚本内容并将其发送给已注册的反恶意软件产品进行检测。这种机制有效地阻止了许多基于脚本的攻击但FullBypass工具通过内存劫持技术找到了突破这一防御体系的方法。⚡ FullBypass工具的工作原理FullBypass工具采用了一种巧妙的内存劫持技术来绕过AMSI保护。该工具的核心代码位于FullBypass/FullBypass/Program.cs文件中主要包含以下几个关键步骤1. 内存操作基础工具首先使用Windows API函数定位PowerShell进程中的amsi.dll模块。通过OpenProcess、ReadProcessMemory和WriteProcessMemory等函数工具能够直接操作目标进程的内存空间。2. AmsiScanBuffer函数定位AMSI的核心检测函数是AmsiScanBuffer该函数负责扫描缓冲区中的脚本内容。FullBypass通过特征码匹配技术在amsi.dll模块中精确找到这个函数的入口点。3. 内存保护修改为了修改内存中的代码工具需要先改变目标内存区域的保护属性。通过调用VirtualProtectEx函数将内存保护从只读PAGE_READONLY改为可写PAGE_EXECUTE_READWRITE。4. 指令劫持找到AmsiScanBuffer函数后工具在特定偏移位置0x1b写入三个字节的指令0x31 0xff 0x90。这些指令对应xor edi, edi和nop操作将扫描缓冲区的大小参数设置为0从而有效地禁用AMSI的扫描功能。️ PowerShell CLM绕过技术除了AMSI绕过FullBypass还实现了PowerShell CLM受约束语言模式的绕过。CLM是PowerShell的一种安全模式限制了许多潜在危险的cmdlet和操作。FullBypass通过创建一个完整的PowerShell反向shell来突破这一限制建立连接工具提示用户输入攻击者的IP地址和端口号创建反向shell使用.NET的System.Net.Sockets.TCPClient建立TCP连接执行环境在目标系统上创建一个完整的PowerShell FullLanguage会话命令执行通过流式传输实现远程命令执行 技术实现细节分析内存劫持的精确性FullBypass工具通过精确的特征码匹配来定位AmsiScanBuffer函数。代码中定义了一个32字节的特征码数组对应函数的前32个字节byte[] fewBytes new byte[32] { 0x4c, 0x8b, 0xdc, 0x49, 0x89, 0x5b, 0x08, 0x49, 0x89, 0x6b, 0x10, 0x49, 0x89, 0x73, 0x18, 0x57, 0x41, 0x56, 0x41, 0x57, 0x48, 0x83, 0xec, 0x70, 0x4d, 0x8b, 0xf9, 0x41, 0x8b, 0xf8, 0x48, 0x8b };安全风险与防护措施虽然FullBypass展示了AMSI机制的潜在漏洞但它也提醒我们采取以下防护措施进程监控监控PowerShell进程的内存修改行为行为检测检测异常的内存保护属性变更签名验证验证amsi.dll的完整性最小权限原则限制PowerShell的执行权限 AMSI绕过技术的防御策略企业级防护建议启用AppLocker或WDAC使用应用程序控制策略限制未签名脚本的执行实施代码签名要求所有PowerShell脚本进行数字签名启用脚本块日志记录记录所有执行的PowerShell脚本内容使用AMSI增强功能配置AMSI提供程序进行更严格的扫描检测技术内存完整性检查定期检查amsi.dll的内存完整性API调用监控监控对VirtualProtectEx和WriteProcessMemory的调用异常行为检测检测PowerShell进程的异常内存操作 安全研究价值FullBypass工具不仅是一个技术演示更是安全研究的重要资源。通过分析这个工具安全研究人员可以理解攻击技术深入了解现代恶意软件使用的绕过技术改进防御机制基于攻击技术改进现有的安全防护方案开发检测规则创建更有效的威胁检测规则和签名安全培训用于红队演练和安全意识培训 总结与建议FullBypass工具展示了Windows AMSI保护机制的潜在弱点提醒我们在设计安全系统时需要考虑到内存完整性的保护。对于安全专业人员来说理解这些绕过技术有助于开发更强大的端点保护解决方案设计多层次的安全防御体系提高对内存攻击的检测能力加强PowerShell环境的安全配置记住安全是一个持续的过程而不是一个最终状态。通过不断学习和理解攻击技术我们能够构建更安全的计算环境。重要提示FullBypass工具仅供合法的安全研究和教育目的使用。请始终遵守相关法律法规仅在授权的环境中进行测试。【免费下载链接】FullBypassA tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language Mode) and gives you a FullLanguage PowerShell reverse shell.项目地址: https://gitcode.com/gh_mirrors/fu/FullBypass创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考