Давайте обсудим
http://standa-note.blogspot.com/2018/02/amsi-bypass-with-null-character.html
Это ж выключает любую защиту, фактически умножая ее на ноль.
PS Доктор надеюсь не полностью на amsi полагается.
Отправлено 20 Февраль 2018 - 13:50
Давайте обсудим
http://standa-note.blogspot.com/2018/02/amsi-bypass-with-null-character.html
Это ж выключает любую защиту, фактически умножая ее на ноль.
PS Доктор надеюсь не полностью на amsi полагается.
Отправлено 20 Февраль 2018 - 13:55
Чего тут обсуждать?
This issue has been fixed as defense-in-depth with the February Update.
Кто не обновляется - сам дурак.
Сообщение было изменено RomaNNN: 20 Февраль 2018 - 13:55
Отправлено 20 Февраль 2018 - 13:58
Сообщение было изменено Konstantin Yudin: 20 Февраль 2018 - 13:57
Отправлено 20 Февраль 2018 - 14:02
маркетинг это да, тестировали
но возможность PS сканить и др. скрипты звучит заманчиво.
Возможно и дозреет.
Тут вопрос, можно ли на Микрософт хоть в чем-то полагаться, у них же могут быть не только такие косяки.
Сообщение было изменено Zelyony: 20 Февраль 2018 - 14:04
Отправлено 20 Февраль 2018 - 15:08
Отправлено 02 Март 2018 - 15:33
Zelyony, судя по прочитанному в статье, AMSI больше похожа на маркетинговую штуковину,
т.к. по моему мнению, сканить скрипты это медвежий труд.
Получается, он якобы анализирует содержимое (тупо статический анализ?), что он там может найти и заблокировать?
Ну, из популярного - допустим, шелкод. Ок, как он справляется с несколькими уровнями наложенной на скрипт обфускации?
Если даже, он её "раскручивает", его движок так и повесить недолго. Реально их, способов, есть столько, что предусмотреть все нереально,
только популярное. А поскольку этот AMSI у всех на виду, то вирмейкеры тоже не дураки, и будут тестировать на нём заранее.
Windows Script Host is not affected as its interpreter stops reading script contents at the first null character, unlike PowerShell.
Это тоже наивное предположение, т.к. не берётся в расчёт возможность скрипта прочитать самого себя.
HiJackThis dev. team
Отправлено 02 Март 2018 - 16:08
Сообщение было изменено Konstantin Yudin: 02 Март 2018 - 16:08
Отправлено 02 Март 2018 - 19:50
У винды сейчас такая стратегия - кусок кода вбросили и "Ура! Пользуйтесь". А продолжение в следующем номере. Но это при условии, что в следующем номере не забьют, или не решат переделать на совсем подругому.
Сообщение было изменено SergSG: 02 Март 2018 - 19:51
Отправлено 02 Март 2018 - 21:49
0 пользователей, 0 гостей, 0 скрытых