研究了下bitdefender AMSI PROVIDER

帝辛

因为BD一直弹出AMSI的警告。所以稍微用程序测试了下。
AMSI是无法排除的。只能关闭这个功能。贼蛋疼。


现在研究发现。有以下两种情况。
第一。使用一段时间后。弹出AMSI。多半是行为被检测。这时候。参考论坛坛友的方法。改名+移动到其他盘。


第二。第一次使用直接弹出AMSI。这里根本无解。除非关闭AMSI检测。
我的程序就是第二种情况。


第一种情况。解决方法坛友已经有了。

第二种方法解决。必须要你有源代码或者相当的逆向基础或者。。。。。或者。。。。。。我才不会告诉你。加超级强壳，最好四大猛壳可以过滤掉大部分（除非你的代码涉及到真真正正非常有威胁的。比如调用Windows dos）。

现在讲解下源代码修改。
触发AMSI多半是使用了调用Windows的dos（CMD,BAT）命令或者脚本，或者调用了Windows API中很危险的代码。。比如。HOOK。处理内存。（怀疑是BD定义的。因为卡巴也有过滤器功能。但是卡巴不报这些。）
现在你要做的就是。修改他们。让他们符合比特梵德 AMSI的标准。
这里列举处理内存和调用BAT命令或者脚本。其余举一反三哦。加油孩子们。

处理内存。因为正常很多程序也会涉及到处理内存。所以这里非常好过AMSI。。如果你不想修改源代码。就按上面的或者或者之后的干吧。多半有用。哪怕是普通点的。或者代码混淆。如果是易语言。直接勾上。编译时代码打乱即可。（触发AMSI多半不是处理内存引起的。）

HOOK。处理方式如上。因为也有很多是正常程序需要HOOK的。Windows就是这点不好。很多功能实现还要HOOK？？？

dos返回（cmd。bat命令）：
已知。易语言的取DOS返回。C++的直接处理DOS命令。会100%触发比特梵德AMSI。因为这些不是正常途径（很多程序用这些来勒索加密。）。。。解决方案。改成调用Windows自带的命令行处理+代码混淆即可（excuse me？？？那不是一个意思？实现功能完全一样好不。）（亲测，，这玩意有毒。有时候不加代码混淆也能过。但是加了一定能过。）。但是确实是这样就行了。。。可能很多程序也调用了CMD。。。比特就只禁用了部分CMD处理命令。

逆向方式解决（无需源代码）：这里需要你有相当的功底。。一步一步跟。跟到可疑代码区。。改就是了。我反正只会写两句触发的。然后逆向看长什么样子。然后到其他程序找差不多的。看看有没有相似的代码片段。。贼麻烦。。。不是一般的麻烦。是贼麻烦。

AMSI触发比较难。不像防护。随随便便写两句恶意代码就触发了。。暂时只发现了这些。如果还有补充。可以联系我。。我补充一下。（告诉我什么功能触发就行了。我可以自己写。然后研究出怎么过。）

其实这个功能就是类似监控程序的代码。可能调用了Windows的编译。如果程序有那么一两句触发，那就直接不让运行。没有源代码。就按上面的解决。越强混淆越好。虽然BD文件监控一定报毒。但是你可以排除啊。不像现在。排除都排除不了。

如果真正连混淆都无法解决的代码。。比如易语言的取DOS返回。C++的直接处理DOS命令。。。这些没有源代码你真的无解了。可能SE可以帮你解决问题。因为他从来不给任何杀毒解析的代码。还是国人写的。所以。。。国外99%杀毒一定报。刚好可以帮你解决问题。


感觉这功能只能防防小白作者。可能还有什么没有研究出来吧。。。现在触发的代码全部能用同等功能的代码替换掉。然后不触发AMSI。C++的更加容易。C++只要过了。多半文件监控也能过。到时候就又要ATD显威力了（估计也悬。如果不是破坏性的。）。


2018年7月16日   日常使用中发现AMSI具有联网查询的功能。。。牛逼啊。。

只是研究研究。没有研究的很深。
有部分是刮刮卡哦。

EnZhSTReLniKoVa

你想多了。BD的防御算不错了。毕竟留了后手的

帝辛

君陌潇 发表于 2018-7-13 19:17
你想多了。BD的防御算不错了。毕竟留了后手的

只是说AMSI好过。ATD估计悬的狠。毕竟第一主防。

EnZhSTReLniKoVa

帝辛 发表于 2018-7-13 19:21
只是说AMSI好过。ATD估计悬的狠。毕竟第一主防。

ATD后 还有。自己发掘吧

zh7000047

喜欢atd