De Antimalware Scan Interface. Microsoft’s poging om PowerShell-misbruik tegen te gaan. Het werkt. Tot je het uitzet. Wat je gaat doen. Waarvoor deze bestanden bestaan.
Bestand
Wat het doet
amsi_bypass_reflection
AmsiContext null pointer zetten via .NET reflection. Vier regels code en AMSI denkt dat alles in orde is. Het is het equivalent van de rookmelder afplakken met tape. De rookmelder werkt nog steeds. Hij ziet alleen niets meer.
amsi_bypass_patch
AmsiScanBuffer patchen in het geheugen. Je overschrijft de functie zodat die altijd “alles is veilig” teruggeeft. De digitale versie van de bewaker omkopen.
amsi_bypass_context
AmsiInitialize context naar null zetten. Een variatie op hetzelfde thema. Want als één methode niet werkt, heb je er graag nog eentje achter de hand. En nog eentje. En nog eentje.
amsi_bypass_clm
Constrained Language Mode omzeilen via een custom PowerShell runspace. Microsoft dacht dat het beperken van PowerShell-commando’s het probleem zou oplossen. Dat is alsof je een kind verbiedt om via de voordeur naar buiten te gaan en dan verbaasd bent dat het via het raam klimt.
amsi_invisishell
InvisiShell: AMSI en ScriptBlock logging uitschakelen zonder de reguliere patches. Onzichtbaar. Stil. Elegant. Drie woorden die je zelden in dezelfde zin als “PowerShell” aantreft.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.