- AMSI
windows defender服务(MsMpEng.exe)调用AMSI,hook 脚本接口,尝试检测已知签名
bypass AMSI 检查最简单的方法是寻找 AMSI 不支持的区域。比如Excel 4.0 版本的宏,由 excel.exe 程序本身解释执行,不由 AMSI hook的 DLL 解释执行。PowerShell 2 解释器也不支持 AMSI。攻击者会尝试强制使用旧版本解释器。
AMSI会规范化字符串(检查已知恶意签名之前将字符串分解成不可分割的字符)需要时间,在规范化之后检测应用签名也会花更长时间。
我们的目的不是永久绕过 AMSI,只需要拖延防御时间,以便完成命令的运行(比如Windows defender无法检测加载器,在运行加解密shellcode后,C2已建立,直接把数据拖出来,这个时候windows defender再告警已经晚了)。