支持致盲/永久关闭:360 安全卫士、360 企业版、天擎V10、腾讯电脑管家、火绒/火绒企业版、卡巴斯基企业版、亚信EDR、Windows Defender
此次更新,直接集成了以上AV/EDR的驱动致盲能力,不用根据不同的EDR,自己编译适配了。
项目地址:
https://github.com/myzxcg/RealBlindingEDR
在Releases 中发布了可执行版本:
如果exe 不免杀请自行转为shellcode,用免杀的shellcode 加载器加载。
运行截图:
用法:
使用echo_driver.sys 驱动进行致盲
RealBlindingEDR.exe c:\echo_driver.sys 1
使用dbutil_2_3.sys 驱动进行致盲
RealBlindingEDR.exe c:\dbutil_2_3.sys 2
程序执行完成后,代表致盲成功。如果你想要永久关闭杀毒软件或EDR,还需要使用taskkill命令结束其进程,然后删除此进程对应的可执行文件。
小技巧:如果EDR标记了这些驱动文件,你可以尝试在不影响驱动签名的情况下,修改驱动文件的hash值。
更多详细信息请参考项目README。
预告:
目前项目中集成了两种驱动的利用方式,第三个驱动利用即将发布,支持Win7/2008R2 - Win11/2022(最新版)。
如果程序存在任何问题,欢迎反馈。
欢迎关注本公众号: