Gorstak-Zadar/AMSIBypassDetection

# 🛡️ AMSIBypassDetection ## 📋 概述 AMSIBypassDetection 用于监控用于绕过 Windows 反恶意软件扫描接口 (AMSI) 的技术。AMSI 是一个关键的安全组件，允许应用程序和服务扫描脚本和代码中的恶意内容。 ## 🎯 检测内容 - 📝 **AmsiScanBuffer 补丁** - 绕过扫描的内存修改 - 🔓 **amsiInitFailed 篡改** - 标志操作 - 🎭 **编码 PowerShell** - 包含 AMSI 绕过字符串的脚本 - 📝 **注册表修改** - 通过注册表禁用 AMSI 的尝试 - 💉 **内存修补** - 运行时 AMSI DLL 修改 ## 🚀 使用方法 ``` # 运行检测 .\AMSIBypassDetection.ps1 ``` ## 📜 许可与免责声明 ## 综合法律免责声明 本项目仅供授权的防御性、管理性、研究性或教育性使用。 - 仅在您已获得明确许可的系统、网络和环境中使用。 - 误用可能违反法律、合同、政策或可接受使用条款。 - 运行安全、强化、监控或响应工具可能会影响稳定性，并可能干扰合法软件。 - 在生产使用前，请在测试环境中验证所有更改。 - 本项目按"原样"提供，不提供任何形式的保证，包括适销性、特定用途适用性和非侵权性。 - 作者和贡献者不对直接或间接损害、数据丢失、业务中断、停机、法律风险或合规影响负责。 - 您全权负责在您管辖范围内的合法运营、配置选择和合规义务。

_{由 Gorstak 精心构建}

标签：AI合规, AMSI绕过检测, APT检测, Conpot, DNS 反向解析, EDR增强, Libemu, OpenCanary, PowerShell监控, PS脚本分析, Windows Defender绕过, Windows安全, 内存修改检测, 内存补丁检测, 安全组件监控, 注册表监控, 混合加密, 端点可见性, 系统加固, 终端安全, 绕过技术检测, 脚本扫描, 蓝队防御