探秘 Cobalt Strike BOF：悄无声息绕过AMSI防护的利器

探秘 Cobalt Strike BOF：悄无声息绕过AMSI防护的利器

injectAmsiBypassCobalt Strike BOF - Bypass AMSI in a remote process with code injection.项目地址:https://gitcode.com/gh_mirrors/in/injectAmsiBypass

在信息安全的暗夜中，攻防双方的较量从未停歇。今天，我们要介绍的是一款名为“Cobalt Strike BOF - Inject AMSI Bypass”的开源项目，它如同一位隐形的战士，潜入敌后，巧妙规避了强大的AMSI（Antimalware Scan Interface）防护机制。

项目介绍

Cobalt Strike是一款广为人知的安全测试工具，其Beacon Object File（BOF）功能允许开发者扩展其攻击向量。本项目则专注于开发一种特殊的BOF，通过远程进程注入的方式，绕过目标系统中的AMSI防护，为安全研究者提供了在特定场景下进行深度测试的能力。只需一行简单的命令，在Cobalt Strike的控制台就能激活这一强大功能。

技术深度剖析

此BOF的工作流程高度专业化，包括三个关键步骤：

1. 远程进程捕获：利用KERNEL32$OpenProcess函数，获取目标进程的句柄，为后续操作铺路。
2. 动态库加载与地址获取：聪明地将AMSI.DLL引入到Beacon的内存空间中，并找到AMSI.AmsiOpenSession函数的地址，即便这可能导致目标进程不稳定。 3

injectAmsiBypassCobalt Strike BOF - Bypass AMSI in a remote process with code injection.项目地址:https://gitcode.com/gh_mirrors/in/injectAmsiBypass