绕过AMSI详细指南:如何利用DLL hijack轻松绕过AMSI

在RingZer0开设的Red Teaming课程中，研究了DoubleAgent攻击手法。攻击者可以利用DoubeleAgent将任意代码注入到任何一个他想注入的进程中。并且由于注入发生在进程启动的一开始，因此攻击可以完全控制进程，而进程无法进行自我保护。我所关注的是反恶意软件扫描接口（AMSI）旁路绕过，这篇文章是对Cn33liz记录的原始DLL劫持方法的拓展，我的目标是找到一种逃避AMSI检测的新方法，我们只需要一个低权限用户可以进行写入的目录，即可绕过AMSI。