AMSI

在最近一次实际操作中,我面对的是没有安装任何(渗透测试)工具的一台Windows平板电脑,我的任务是测试其安全性以及我能入侵的深度。
微软在2015年中旬开始提出了针对无文件攻击和Powershell脚本攻击的检测缓解方案-AMSI。本文以Powershell行为日志审计为切入点, 展开介绍AMSI的功能,工作机制与现有绕过方法。
我们本文介绍的方法,对于渗透测试的早期会更有用一些,因为AMSI(反恶意软件扫描接口)可能会对获取Shell的过程以及后期漏洞利用(Post-exploitation)阶段造成麻烦。