AMSI : fonctionnement et contournements

Magazine
Marque
MISC
Numéro
104
Mois de parution
juillet 2019
Domaines


Résumé

Avec Windows 10, Microsoft a introduit l’Antimalware Scan Interface (AMSI) dont l’objectif est de faciliter l’interaction entre les langages de scripting et les solutions antivirus. Ce mécanisme permet notamment de déjouer certaines techniques d’obfuscation visant à échapper aux signatures antivirus.


L’Antimalware Scan Interface (AMSI) est un mécanisme de protection intégré au sein de Windows 10. Son objectif est de fournir aux développeurs une interface leur permettant d’interagir de façon abstraite avec les solutions antivirus installées sur un poste. Son usage est notamment destiné aux langages de scripting tels que PowerShell, JScript, VBScript ou VBA.

Dans cet article, nous étudierons le fonctionnement de l’AMSI ainsi que son implémentation au sein de divers composants, puis nous nous intéresserons aux méthodes permettant de contourner ce mécanisme.

1. AMSI

1.1 Fonctionnement

Lorsqu’une application souhaite procéder à l’inspection d’un contenu par un antivirus, celle-ci fait appel à l’AMSI. L’interface joue alors le rôle de courtier en redistribuant le contenu à analyser vers les différents « providers » (antivirus) inscrits auprès d’elle. Ce fonctionnement est présenté par le schéma en figure 1.

 

amsi-architecture

 

Fig....

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Retours d’un hackathon 5G

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Domaines
Résumé

Encore insouciant de la crise qui allait frapper le monde fin 2019, un hackathon de 24h a eu lieu à l’université d’Oulu [1] en Finlande afin d’anticiper les attaques sur les futures installations 5G de manière pratique. Nous verrons dans cet article comment il a été possible d’avoir la main sur la quasi-totalité d’un réseau 5G privé comme celui du campus d’Oulu à partir d’une carte USIM et d’un téléphone 5G. Puis, nous verrons d’autres perspectives en termes de tests d’intrusion avec les outils publics actuels.

Exploration du standard HITAG2 utilisé pour le verrouillage des véhicules grâce à la SDR

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Depuis de nombreuses années, l’ouverture des véhicules ne se fait plus en insérant une clé dans une serrure mécanique comme c’était le cas auparavant. Le verrouillage, et même parfois l’allumage des phares, peuvent être réalisés à partir d’une transmission radio entre la clé et le véhicule. Cette fonctionnalité, devenue essentielle, doit nous questionner sur la sécurité mise en œuvre. Nous allons voir que jusqu’à récemment, beaucoup de systèmes de verrouillage déployés sont vulnérables à des attaques peu sophistiquées qui nécessitent peu de moyens.

Introduction au dossier : Réalisez votre premier pentest pour sécuriser votre système

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Dans cette série d’articles, je vais vous faire une introduction au pentesting. Non, je ne ferai pas de vous des pirates informatiques. Nous resterons dans la légalité, et vous découvrirez ce qu’est un Ethical Hacker, quelqu’un qui teste le système informatique d’un client, avec son approbation et son consentement, pour l’aider à renforcer sa sécurité informatique.

Mise en pratique du pentesting

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

La lecture des articles précédents vous a donné envie de vous essayer au pentesting, envie que vous aviez même peut-être déjà. Nous allons désormais passer à la pratique, en mettant en application les concepts théoriques abordés dans le premier article.