vxCrypt0r/AMSI_VEH

# 通过 VEH 绕过 AMSI ### 描述： 一种通过向量化异常处理程序 (VEH) 实现 PowerShell AMSI 绕过的技术。该技术不执行汇编指令修补、函数挂钩或导入地址表 (IAT) 修改。 ### 工作原理： 要使此技术生效，必须首先将 VEH DLL 注入到 PowerShell 进程中。这可以通过注入 DLL 或通过 DLL 劫持来完成。 该技术的工作原理是在所有 PowerShell 进程线程的 `AmsiScanBuffer` 函数上设置硬件断点，然后安装 VEH 来处理此断点的触发。 当线程调用 `AmsiScanBuffer` 时，VEH 将使线程退出该函数而不执行任何操作，并将函数结果设置为 `AMSI_RESULT_CLEAN`。这一切都在 VEH 内部完成，无需修改进程代码或进行任何 PE 修改。 ### 用法： 出于演示目的，此存储库包含一个非常基础的 DLL 注入器。请按以下方式使用： * 1.) 编译 DLL 注入器和 VEH DLL。 * 2.) 打开一个 PowerShell 实例。 * 3.) 通过提供 DLL 的完整路径来运行 DLL 注入器。示例： ``` ./DLL_Injector.exe C:\Windows\Temp\AMSI_VEH.DLL ``` * 4.) PowerShell 将打开一个 MessageBox 窗口以确认 VEH 安装。 ### 演示：  ### 免责声明 本存储库仅供学术用途，使用本软件的责任由您自行承担。

标签：AI合规, AMSI Bypass, AmsiScanBuffer, C/C++, DLL 劫持, DLL 注入, Hooking, OpenCanary, PowerShell 安全, UML, VEH, Windows 内部机制, 事务性I/O, 云资产清单, 反病毒规避, 向量化异常处理, 大语言模型, 字典攻击, 数据展示, 硬件断点, 端点可见性, 红队, 绕过防御, 逆向工程