11-04-2019, 22:33
Hej Shellsec
Der er sjældent diskussioner om tekniske emner herinde, men nu prøver jeg alligevel.
Powershell Empire's stagers bliver opsnappet af windows defender gennem AMSI, hvad jeg kan lurer mig frem til kører den stadig AMSIScanString og ikke kun AMSIScanBuffer, som jeg ellers havde formodet var lukket af Microsoft.
Jeg mener at jeg kan bypasse AMSIScanBuffer, men jeg har problemer med AMSIScanString. Hvilke obfuskeringsmetoder kender i til, som omgår windows defender AMSI på en fuldt patched windows 10?
Jeg prøver at lege lidt med Invoke-Obfuscation, dog uden held indtil vidre.
Nuværende Invoke-Obfuscation streng er "Token\All\1,Encoding\1,Launcher\STDIN++\234"
Der er sjældent diskussioner om tekniske emner herinde, men nu prøver jeg alligevel.
Powershell Empire's stagers bliver opsnappet af windows defender gennem AMSI, hvad jeg kan lurer mig frem til kører den stadig AMSIScanString og ikke kun AMSIScanBuffer, som jeg ellers havde formodet var lukket af Microsoft.
Jeg mener at jeg kan bypasse AMSIScanBuffer, men jeg har problemer med AMSIScanString. Hvilke obfuskeringsmetoder kender i til, som omgår windows defender AMSI på en fuldt patched windows 10?
Jeg prøver at lege lidt med Invoke-Obfuscation, dog uden held indtil vidre.
Nuværende Invoke-Obfuscation streng er "Token\All\1,Encoding\1,Launcher\STDIN++\234"