AMSI

Немного про AMSI

AMSI (Antimalware Scan Interface) - интерфейс сканирования на наличие вредоносных программ - встроенный в Windows интерфейс, позволяющий проверять программы и процессы на предмет наличия угроз. Интегрируется с антивирусом и действительно доставляет много проблем при запуске, например, PowerShell скриптов.

Часто успех RedTeam кампаний зависит от того есть ли возможность обойти AMSI.

Делимся с вами некоторыми ссылками, в которых описаны способы обхода, но предупреждаем, что все актуально только в моменты публикации данных статей - такие вещи стараются быстро закрывать.

https://www.contextis.com/en/blog/amsi-bypass - подробно и хорошо описано, что вообще такое AMSI и как работает. Есть ссылка на разработанный скрипт, который помогает обходить AMSI

https://movaxbx.ru/2019/06/04/how-red-teams-bypass-amsi-and-wldp-for-net-dynamic-code/ - описаны универсальные способы обхода, не требующие каких-то глубоких знаний о работе AMSI