Ksapi64-Killer 使用BYOVD技术来杀死 AV和EDR进程
2023-12-9 16:46:0 Author: blog.upx8.com(查看原文) 阅读量:38 收藏

Ksapi64-Killer简介

通过 LOL 查找并利用进程杀手驱动程序

文件hash

  • 这是 ksapi64 驱动程序的 poc 这个 poc 是如何在 2 个驱动程序上工作的
  • ksapi64.sys SHA256:1CD219F58B249A2E4F86553BDD649C73785093E22C87170798DAE90F193240AF
  • ksapi64_del.sys SHA256:26ED45461E62D733F33671BFD0724399D866EE7606F3F112C90896CE8355392E

用法:

要使用 Ksapi-Killer,您需要将 ksapi64.sys 驱动程序位于与可执行文件相同的位置

您将看到一个选项菜单,您可以在其中指定进程 ID 或名称

驱动程序名称必须是 ksapi64.sys,因此请根据需要重命名)

POC 代码严重依赖TrueSightKiller

在 Windows 8.1 上测试

Ksapi64-Killer 使用BYOVD技术来杀死 AV和EDR进程

下载地址

BYOVD

参考

alice.climent-pommeret.red/posts/process-killer-driver/


文章来源: https://blog.upx8.com/3947
如有侵权请联系:admin#unsafe.sh