Сабж. Как чекнуть скрипт байпаса амси в пш?
Типа патчим амси, после "Invoke-Mimikatz" для теста и чекаем на то, что есть ли патч или нет
Типа патчим амси, после "Invoke-Mimikatz" для теста и чекаем на то, что есть ли патч или нет
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как чекнуть байпас амси пш
- Автор темы Emi
- Дата начала
Write-Host "AmsiUtils", если AMSI работает не пропустит вывод. Еще можно дополнительно импортнуть .NET приложение, которое заведомо детектится, и сделать из него вызов.
Последнее редактирование:
- Автор темы
- Добавить закладку
- #3
ну типа как чекнуть автоматом для того, чтобы понять, качать ли остальную часть?
try, catch или как
Ну вызвать AmsiScanBuffer по идее, не?
- Автор темы
- Добавить закладку
- #5
ну у пш так, если детект произошел, то останавливается остальная часть кода
Мне нужно получить определенные данные, что был патч амси и на основе этих данных расшифровать остальную часть и инвокнуть код
Можно примерно так накостылить.
Взять строку "Invoke-Mimikatz" или какую нибудь другую сигнатуру (только обязательно с кавычками), завернуть ее в base64, чтобы еще до начала выполнения скрипта не палилось. И после байпасса амси попробовать выполнить это через IEX, присвоив возвращаемое значение какой нибудь переменной. Дальше сделать проверку лежит ли что-то в этой переменной. Если нет, то выполнение зафейлилось и детект был, а и если да, то все ок, выполняем нужный код.
Код:
#здесь вставляем патч амси
$a = iex ([System.Text.Encoding]::UTF8.GetString([system.convert]::FromBase64String('Imludm9rZS1taW1pa2F0eiI=')));
if($a -ne $null){
#выполняем все, что собирались
}
Последнее редактирование:
Скрытый контент для пользователей: purple_haze.
Скрытый контент для пользователей: Haunt.
- Автор темы
- Добавить закладку
- #9
/del
Последнее редактирование: