复制Spyboy技术以终止所有EDR / XDR / AV进程。

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/ZeroMemoryEx/Terminator

Terminator

  • 以仿制Spyboy技术为目标,该技术涉及滥用zam64.sys驱动程序以终止所有EDR/XDR/AVs进程
  • Spyboy以3000美元的价格销售Terminator软件详情请见
  • 该样本来源于loldrivers

用法

  • 可在此处找到编译版本

  • 将驱动程序Terminator.sys放在可执行文件的相同路径下

  • 以管理员身份运行程序

  • 保持程序运行,以防止服务重新启动防恶意软件

    ad1a1b7183224214

     

技术细节

  • 该驱动程序包含一些保护机制,仅允许可信的进程ID发送IOCTL。如果不将进程ID添加到可信列表中,则每次都会收到“访问被拒绝”的消息。然而,这可以通过发送带有我们的PID的IOCTL来轻松绕过,从而允许我们控制许多关键的IOCTL

    ad1a1b7183224225

标签:工具分享, 思路分享, 学习笔记