慎用!!一个干掉所有EDR/XDR的工具:终结者
本文只是演示作用,并无其它意图。
简介
-
重现
Spyboy技术,涉及通过使用zam64.sys驱动程序终止所有EDR/XDR/AVs进程 -
Spyboy以3,000美元的价格出售最终结者软件
-
样本来自loldrivers, https://www.loldrivers.io/drivers/49920621-75d5-40fc-98b0-44f8fa486dcc/
使用方法
-
下载发布版本。 请通过打赏获取代码地址
-
将驱动程序
Terminator.sys放于与可执行文件同一目录 -
以管理人员身份运行程序
-
让程序一直运行, 防止服务重新启动反恶意软件
技术细节
驱动程序包含一些保护机制,只允许受信任的进程 ID 发送 IOCTL,如果不将您的进程 ID 添加到受信任列表,您每次都会收到“Access Denied”消息。然而,这可以很容易地通过发送一个带有我们的 PID 的 IOCTL 被添加到受信任列表中来绕过,这将允许我们控制许多关键的 IOCTL
请点一下右下角的“在看”,谢谢!!
请帮忙点赞, 谢谢!!
请帮忙转发,谢谢!!
暗号: 884298
三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字
