在不斷升級野外威脅攻防下，高階網軍得採以更隱匿的滲透攻擊取得反彈 Shell、並橫向移動潛伏於企業核心中，其中無文件攻擊（Fileless Attack）策略便是挫敗最為先進的端點防線的主力手法：濫用系統原生服務（如 PowerShell 與 LoLBins）進行組合攻擊，最終完成提權與利用 BYOVD 技巧關閉核心端點防護、植入後門。

為解決上述多層次的原生服務濫用手法，微軟於Windows10中推出了AMSI（Antimalware Scan Interface）部署於系統中多個脆弱的風險架構上，提供了更為細粒度的語義掃描以達協作防控，成為了解決安全產品對於此類早期攻擊威脅的主力防線 … 然而，真的有效嗎？

這場議程我們將從一篇 CrowdStrike 早期威脅研究所擔憂的 AMSI 架構設計面談起。將陪伴聽眾以逆向工程方法拆解入 PowerShell + AMSI 防線架構中 The Good, The Bad and The Ugly —— 探討 PowerShell 架構元件底層交互協作過程，並轉化為多道務實有效的野外利用技巧。在偵測方面，我們將分析在多層次的掛鉤下能否彌補這些繞過手法，幫助藍隊夥伴能對 PowerShell 底層引擎有夠深一層的認識。