本文只是演示作用,并无其它意图。
重现 Spyboy 技术,涉及通过使用 zam64.sys 驱动程序终止所有 EDR/XDR/AVs 进程
Spyboy以3,000美元的价格出售最终结者软件
样本来自loldrivers, https://www.loldrivers.io/drivers/49920621-75d5-40fc-98b0-44f8fa486dcc/
下载发布版本。 请通过打赏获取代码地址
将驱动程序Terminator.sys放于与可执行文件同一目录
以管理人员身份运行程序
让程序一直运行, 防止服务重新启动反恶意软件
驱动程序包含一些保护机制,只允许受信任的进程 ID 发送 IOCTL,如果不将您的进程 ID 添加到受信任列表,您每次都会收到“Access Denied”消息。然而,这可以很容易地通过发送一个带有我们的 PID 的 IOCTL 被添加到受信任列表中来绕过,这将允许我们控制许多关键的 IOCTL
三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字三百字
