推荐开源项目：SnD_AMSI - 规避AMSİ检测的远程PowerShell启动器

在网络安全和渗透测试领域，绕过防御机制的技术常常是关键所在。今天，我们要向大家推荐一个名为SnD_AMSI的开源项目，它是一个由Nim语言编写的工具，能帮助你在不触发Windows AMSI（反恶意软件扫描接口）的情况下，远程启动干净的PowerShell实例。

项目介绍

SnD_AMSI是一个创新的解决方案，专注于解决在执行特定命令或脚本时可能会遇到的AMSİ检测问题。这个小巧且高效的工具，让你能够在保持操作安全性的同时，自由地进行远程操作。

项目技术分析

该项目的核心在于其利用了Nim语言的高效性能，编写了一个能够禁用ETW(事件跟踪 Windows) 和 AMSI 的PowerShell启动器。nimble install winim用于安装必要的依赖库，然后通过nim c -x -f StartCleanPS.nim进行编译，即可得到可执行文件。

PoC(Poof of Concept)截图展示了工具成功创建了一个不受AMSİ监控的新PowerShell会话，表明了其有效性和实用性。

项目及技术应用场景

对于安全研究人员、系统管理员来说，SnD_AMSI可以提供以下应用场景：

1. 安全测试：在测试目标的安全防护时，避免被防御工具误报。
2. 安全通信：在需要安全运行脚本或传递命令的场景中，保护操作内容。
3. 安全研究：测试特定代码是否会被AMSİ检测到，优化安全策略。

项目特点

• 轻量级与快速：基于Nim编译，执行速度快，占用资源少。
• 无ETW和AMSI：完全禁用了PowerShell中的AMSİ和ETW，确保操作安全。
• 易部署：编译简单，无需复杂的配置，一键式编译可执行文件。
• 可靠：已通过PoC验证，能在实际环境中有效运作。

总的来说，SnD_AMSI为那些需要在Windows环境中规避AMSİ检测的用户提供了强大的支持。如果你经常从事与安全相关的任务，或者只是对如何绕过防御机制感兴趣，那么这个项目绝对值得你尝试。现在就加入SnD_AMSI的社区，开始你的安全PowerShell之旅吧！