使用 PowerShell 中的动态 API 解析绕过 AMSI

主要观点总结

本文主要介绍了动态API解析的概念、与静态API导入的对比以及其在Windows环境下的实现方式。动态API解析是在运行时解析Windows API函数地址的技术，而非在程序编译或加载时预先导入和声明。

关键观点总结

关键观点1: 动态API解析的概念

动态API解析是一种在运行时解析Windows API函数地址的技术，能够在程序运行时动态地获取所需的API函数地址，而不是在编译或加载时预先导入和声明。

关键观点2: 动态API解析与静态导入的对比

静态API导入会在代码运行之前公开意图，容易被AV/EDR检测。而动态API解析保持隐藏状态，仅在需要时显示所需内容，降低静态检测风险。

关键观点3: 动态API解析的实现方式

通过使用GetModuleHandle和GetProcAddress函数获取DLL的句柄和特定函数的内存地址。借助LookupFunc函数获取API函数地址，并使用getDelegateType函数获取委托类型，以实现对API的调用。