https://github.com/ZeroMemoryEx/Terminator
重现Spyboy技术,该技术涉及通过滥用zam64.sys驱动程序终止所有EDR/XDR/AVs进程
间谍男孩以3000美元的价格出售终结者软件欲知详情
样本来源于 loldrivers
编译版本可以在此找到 此处
将驱动程序
Terminator.sys放置在与可执行文件相同的路径中以管理员身份运行程序
保持程序运行以防止服务重新启动反恶意软件
驱动程序包含一些保护机制,只允许受信任的进程ID发送 IOCTLs。如果你不将你的进程ID添加到受信任列表中,每次你都会收到一个“访问被拒绝”的消息。然而,这可以通过发送一个带有我们PID的IOCTL来轻松绕过,将我们的PID添加到受信任列表中,从而允许我们控制许多重要的IOCTL。
支付宝微信扫一扫,打赏作者吧~本文链接:https://kinber.cn/post/6418.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
