Sliver C2框架中绕过AMSI检测的技术分析

背景介绍

Sliver是一款流行的开源C2(Command and Control)框架，被广泛应用于红队操作和渗透测试中。近期有用户报告Windows Defender检测到Sliver生成的payload被标记为"Win32/AMSI_Patch_T.B13"，这表明AMSI(反恶意软件扫描接口)机制检测到了Sliver的内存补丁行为。

AMSI检测机制分析

AMSI是微软提供的一套反恶意软件接口，允许安全产品在脚本、宏和其他内容执行前进行扫描。Sliver框架默认会对AMSI进行内存补丁以绕过检测，这正是Defender报毒的原因。

AMSI补丁通常通过以下方式工作：

1. 定位amsi.dll中的关键函数(如AmsiScanBuffer)
2. 修改函数入口处的指令(常见的是修改为直接返回成功)
3. 绕过后续的内容扫描

解决方案技术细节

根据issue中的讨论，解决此问题的方法是对生成的shellcode进行手动修改：

1. 定位检测点：分析Sliver生成的shellcode，找到AMSI检测相关的代码段
2. 字节修改：识别并修改触发AMSI检测的关键字节序列
3. 功能保留：确保修改后的shellcode仍保持原有功能

防御对抗思考

从防御者角度，检测此类技术可以关注：

• 内存中amsi.dll的异常修改
• 进程对关键API的非常规调用
• 代码段的可执行权限异常

总结

Sliver框架默认的AMSI绕过技术虽然有效，但已被主流杀软加入特征检测。通过手动修改shellcode的关键字节可以绕过特定检测，这体现了红蓝对抗中技术不断演进的特点。安全研究人员应持续关注攻防双方的技术发展，才能在实际环境中有效应对。

对于渗透测试人员，建议：

1. 定期更新工具版本
2. 了解底层技术原理
3. 根据目标环境定制化payload
4. 考虑多种绕过技术的组合使用