Вы же понимаете, что это всё читают в том числе и резерчеры? И всё что вы сюда напишите - это уменьшите время жизни методов.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
AV\EDR Обход AMSI
- Автор темы baykal
- Дата начала
Есть очень старые методы обхода которые все еще работают, достаточно слегка обфусцировать их. До тех пор пока сами Майки не пофиксят библиотеку, будет легко и просто обходить защиту АВ. Как по мне это банальная закладка и фикситься она не будет, но использовние её будет слегка затруднятся, чтоб форумные скрипткидисы не могли эксплуатировать это, но в тоже время реальные пентестры будут это юзать.
Защита от некотрых методов или мониторинг некоторых апи стоят очень дорого в плане ресурсов, ав который жрет ресурсы никому не неужен. Бдительность ав не бесплатная.
Точно так же много всякого не блочится, потому что прежде чем что то блокировать аверы должны хорошо подумать, а сколько систем изза этого упадет и сколько клиентов они потеряют.
Думайте об ав и едр как о бизнесе а не как о чем то что ставит своей главной целью максимальную защиту, реальная цель зарабатывать а не защищать.
Еще думаю стоит готовиться к тому что ии будут мониторить эвенты, вот эти не проспят и не проебут аномалии, аномалия - звонок админу.
I wrote a java amsi string xoer with DL to retro propagate the weights, prediction and accurance of new xor's in every single bypass, it works fine c:
Матреиал на тему обхода AMSI в 2025 году, что работает что нет
r-tec[.]net/r-tec-blog-bypass-amsi-in-2025[.]html
r-tec[.]net/r-tec-blog-bypass-amsi-in-2025[.]html
best way is just to take any new method for amsi bypass then write it in C#. Then use C# obfuscator. Then inject the C# via CLR hosting in powershell. Then use invoke obfuscation on the powershell command. Done... it bypasses everytime.