Популярное

Музыка Кино и Анимация Автомобили Животные Спорт Путешествия Игры Юмор

Интересные видео

2025 Сериалы Трейлеры Новости Как сделать Видеоуроки Diy своими руками

Топ запросов

смотреть а4 schoolboy runaway турецкий сериал смотреть мультфильмы эдисон
dTub
Скачать

Ghosting AMSI and Taking Win10 and 11 to the DarkSide

Автор: The Weekly Purple Team

Загружено: 2025-06-13

Просмотров: 1006

Описание:

In this episode of The Weekly Purple Team, we explore a new method to bypass the Anti-Malware Scan Interface (AMSI) using a powerful tool: Ghosting-AMSI. This approach allows us to inject malicious PowerShell payloads without being blocked by Defender or other AV tools.

🚩 Once AMSI is bypassed, we move straight into PowerShell Empire C2 agent control, which successfully executes on both Windows 10 and Windows 11 systems.

🔍 From a purple team perspective, we flip to the blue side: analyzing how to detect this attack in your SIEM using memory instrumentation clues like VirtualProtect and VirtualAlloc, commonly seen in memory injection scenarios.

🎯 What You’ll Learn:

How AMSI ghosting evades standard Windows defenses

Gaining full control with PowerShell Empire post-bypass

Behavioral indicators to watch for in EDR/SIEM

Detection strategies using native logging and memory-level heuristics

🧪 Tools Used:

Ghosting-AMSI
https://github.com/andreisss/Ghosting...

PowerShell Empire
https://github.com/BC-SECURITY/Empire

Windows Defender & event logs

SIEM detection patterns for memory modification APIs

📽️ Chapters:
00:00:00 – Intro
00:01:56 – AMSI Bypass Win10
00:02:40 – Empire Agent Win10
00:03:52 – AMSI Bypass Win11
00:06:00 – Detecting AMSI Ghosting
00:06:58 – Detecting VirtualProtect
00:07:45 – Detecting VirtualAlloc

⚠️ Disclaimer: This demonstration is strictly for educational and authorized research purposes. Never attempt these techniques in environments where you lack explicit permission.

#AMSIBypass #GhostingAMSI #PurpleTeam #PowerShellEmpire #CyberSecurity #RedTeam #BlueTeam #DetectionEngineering #WindowsSecurity #MalwareAnalysis #MemoryInjection

Ghosting AMSI and Taking Win10 and 11 to the DarkSide

Поделиться в:

Доступные форматы для скачивания:

Скачать видео mp4

  • Информация по загрузке:

Скачать аудио mp3

Похожие видео

Использование списка разрешений Windows (WDAC) для уничтожения EDR

Использование списка разрешений Windows (WDAC) для уничтожения EDR
Как НА САМОМ ДЕЛЕ работает GoodbyeDPI и Zapret?

Как НА САМОМ ДЕЛЕ работает GoodbyeDPI и Zapret?
LSASS Dumping by Defender | Purple Teaming LSASS Dumping

LSASS Dumping by Defender | Purple Teaming LSASS Dumping
🛡️ Deep Dive: BadSuccessor – Full Active Directory Compromise

🛡️ Deep Dive: BadSuccessor – Full Active Directory Compromise
Взлом Wi-Fi: что хакер сможет сделать с вашей сетью?

Взлом Wi-Fi: что хакер сможет сделать с вашей сетью?
EDR on EDR Violence: Bring Your Own Vulnerable EDR

EDR on EDR Violence: Bring Your Own Vulnerable EDR
🔍 Inside CVE-2025-24054: Purple Team Attack Breakdown

🔍 Inside CVE-2025-24054: Purple Team Attack Breakdown
Хомлаб для ПОЛНОЙ приватности и свободы в интернете

Хомлаб для ПОЛНОЙ приватности и свободы в интернете
Как стать невидимым в сети в 2026 году

Как стать невидимым в сети в 2026 году
РОСКОМНАДЗОР ЗАБЛОКИРОВАЛ последнюю защиту: Почему Reality и XTLS больше не работают?

РОСКОМНАДЗОР ЗАБЛОКИРОВАЛ последнюю защиту: Почему Reality и XTLS больше не работают?
8 Ways to Attack & Detect Lateral Movement – Rapid Fire Edition

8 Ways to Attack & Detect Lateral Movement – Rapid Fire Edition
Чем ОПАСЕН МАХ? Разбор приложения специалистом по кибер безопасности

Чем ОПАСЕН МАХ? Разбор приложения специалистом по кибер безопасности
Сможете ли вы заставить Cobalt Strike превзойти EDR/XDR в 2025 году?

Сможете ли вы заставить Cobalt Strike превзойти EDR/XDR в 2025 году?
СРОЧНО: Банк Англии Анонсировал Финансовый КРАХ на 2026 (Полный Отчет)

СРОЧНО: Банк Англии Анонсировал Финансовый КРАХ на 2026 (Полный Отчет)
ИСТЕРИКА ВОЕНКОРОВ. Z-ники в ярости из-за приезда Зеленского в Купянск. Требуют отставки Герасимова

ИСТЕРИКА ВОЕНКОРОВ. Z-ники в ярости из-за приезда Зеленского в Купянск. Требуют отставки Герасимова
КАК НЕЛЬЗЯ ХРАНИТЬ ПАРОЛИ (и как нужно) за 11 минут

КАК НЕЛЬЗЯ ХРАНИТЬ ПАРОЛИ (и как нужно) за 11 минут
BYOVD Attack: Stealth LSASS Memory Extraction with Doppelganger

BYOVD Attack: Stealth LSASS Memory Extraction with Doppelganger
БЕЛЫЕ СПИСКИ: какой VPN-протокол справится? Сравниваю все

БЕЛЫЕ СПИСКИ: какой VPN-протокол справится? Сравниваю все
Такая флешка нужна каждому! Реаниматор любого ПК из обычной USB флешки

Такая флешка нужна каждому! Реаниматор любого ПК из обычной USB флешки
OSINT для новичков: найдите всё о юзернейме и фото с Sherlock и Google Dorks!

OSINT для новичков: найдите всё о юзернейме и фото с Sherlock и Google Dorks!

© 2025 dtub. Все права защищены.



  • Контакты
  • О нас
  • Политика конфиденциальности



Контакты для правообладателей: [email protected]