记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

反恶意软件扫描接口检测分析方法论: 用于 WMI 的 AMSI 识别与分析

简介及目标AMSI 为终端安全服务提供商提供了一个非常棒的接口,能够让提供商从他们所选择的内容扫描的组件中深入了解内存缓冲区。 微软提供了以下组件列表,这些组件选择使用 AMSI:· 用户帐户控制或 UAC (EXE、 COM、 MSI 或 ActiveX 安装时的权限提升)· Powershell (脚本、交互式使用和动态代码权限提升)· Windows Script Host (wscript.exe and cscript.exe)· JavaScript 和 VBScript· Office VBA 宏作为一名从事侦查工程的防御者和一名对成熟
发布时间:2019-10-18 13:10 | 阅读:35319 | 评论:0 | 标签:二进制安全 安全工具 系统安全 AMSI WMI 扫描

逃避手段再开花——从一个能逃避AppLocker和AMSI检测的Office文档讲起

介绍几天前,Cybaze-Yoroi ZLAB团队遇到了一个十分“异类”的Office文档,它当中包含的一些特性引起了研究人员的兴趣。文档中携带的payload能绕过Microsoft现今一些高级别的安全机制,如AppLocker(应用程序控制策略),或是较新版本的防恶意软件扫描接口AMSI——这是一个与供应商无关的安全接口,可以对运行的脚本、宏代码甚至内存块进行反病毒控制,旨在解决混淆和无文件威胁。因此,Cybaze-Yoroi ZLAB决定对检测样本进行更进一步的分析。技术分析表1.样本信息初始文档界面如下图所示,表面上是提示用户启用宏以显示文档的实际内容,实际上感染链已在后台悄悄启动。图1.初始文档界面几秒钟后,
发布时间:2019-03-22 12:20 | 阅读:594516 | 评论:0 | 标签:系统安全 AMSI AppLocker

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云