慎用!!一个干掉所有EDR/XDR的工具:终结者
2023-6-7 08:11:28 Author: 奶牛安全(查看原文) 阅读量:80 收藏

本文只是演示作用,并无其它意图。

简介

  • 重现 Spyboy 技术,涉及通过使用 zam64.sys 驱动程序终止所有 EDR/XDR/AVs 进程

  • Spyboy以3,000美元的价格出售最终结者软件

  • 样本来自loldrivers, https://www.loldrivers.io/drivers/49920621-75d5-40fc-98b0-44f8fa486dcc/

使用方法

  1. 下载发布版本。 请通过打赏获取代码地址

  2. 将驱动程序Terminator.sys放于与可执行文件同一目录

  3. 以管理人员身份运行程序

  4. 让程序一直运行, 防止服务重新启动反恶意软件

技术细节

驱动程序包含一些保护机制,只允许受信任的进程 ID 发送 IOCTL,如果不将您的进程 ID 添加到受信任列表,您每次都会收到“Access Denied”消息。然而,这可以很容易地通过发送一个带有我们的 PIDIOCTL 被添加到受信任列表中来绕过,这将允许我们控制许多关键的 IOCTL

三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY0NTExNA==&mid=2247489540&idx=1&sn=6a226fdf7d0f5bc0c1d4dc0ea8756cd9&chksm=fdf97311ca8efa072c5e8a1b9f637fdae13d5bc49da6cda2fa64a4a8752f203731313b656fd0#rd
如有侵权请联系:admin#unsafe.sh