اساليب تخطي برامج الحمايه

By  
Abdulaziz Almetairy  

Twitter : @AzizWho 

مقدمه

السلام عليكم ورحمة الله وبركاته..

اليوم بتكلم عن أساليب و اساسيات تخطي برامج الحمايه باستخدام عدة طرق منها البسيطه ومنها المتقدمه.

الهدف من المقاله هو شرح وفهم طرق الكشف من برامج الحمايه وكيف نقدر نتغلب عليها. 


المواضيع اللي بتكلم عنها:

  1. AntiMalware Scan Interface (AMSI)

  2. Event Tracing for Windows (ETW)

  3. Userland API Hooking

تتطلب المقاله فهم في لغات البرمجه
C++\C
#C
x86 Assembly

راح اشرح المواضيع بالتفاصيل واتمنى تفيدكم :)

AntiMalware Scan Interface (AMSI)

ماهو ال AntiMalware Scan Interface؟

الAMSI هو ميزة أمنيه في نظام الويندوز توفر واجهه تساعد برامج الحمايه في فحص اي سكريبت او اوامر من خلال توجيهها الى برامج الحمايه والتأكد من شرعيتها قبل تنفيذها.

عندنا مثال بسيط يشرح فكرة الAMSI وكيف طريقتها.

نقول شغلت powershell , اول ما يشتغل الprocess راح تصير عملية injection لamsi.dll في الpowershell process.

في الamsi.dll , عندنا دالتين مهمه وهي:

  1. AmsiScanBuffer()

  2. AmsiScanString()

الان بعد ماصارت عملية الinjection , اي أمر او سكربت راح ينكتب في الpowershell , راح يمر على دالة AmsiScanString بعدين الداله هذي راح تمرره على AmsiScanBuffer ثم يتم تمريره الى برنامج الحمايه وهو راح يرجع لنا اذا الامر او السكريبت شرعي او لا
(بناء على خصائص برنامج الحمايه وطريقة التحقق الخاصه فيه)

وهذا الرسم يوضح العمليه:

وبكذا نعتمد على برامج الحمايه ونتأكد من رده قبل التنفيذ, اذا الامر او السكريبت شرعي ف راح يتنفذ, واذا ضار ف راح يتوقف وماراح يتنفذ.

Join