怎么使用Backstab终止受保护的进程
发布时间:2022-06-27 16:29:37 所属栏目:安全 来源:互联网
导读:关于Backstab Backstab是一款功能强大的安全研究工具,在该工具的帮助下,广大研究人员可以轻松终止那些受反恶意软件产品保护的进程。 当你拿到了目标设备的本地管理员凭证之后,你发现EDR仍然在线,该怎么办呢?卸载钩子或者直接系统调用针对EDR也无法起作用
|
关于Backstab Backstab是一款功能强大的安全研究工具,在该工具的帮助下,广大研究人员可以轻松终止那些受反恶意软件产品保护的进程。 当你拿到了目标设备的本地管理员凭证之后,你发现EDR仍然“在线”,该怎么办呢?卸载钩子或者直接系统调用针对EDR也无法起作用,又该怎么办呢?没错,我们为何不直接终止相关进程呢? Backstab会做哪些事情? 将嵌入式驱动器存储至磁盘上; 创建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices; 由于需要加载驱动器,因此获取SE_PRIVILEGE_ENABLED权限; 使用NtLoadDriver加载驱动器以避免创建服务; 创建的注册表项被删除(执行期间服务不可见); 通过DeviceIoControl与驱动器通信; 调用NtQuerySystemInformation实现进程句柄枚举; 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地: 复制 git clone https://github.com/Yaxser/Backstab 1. 工具使用帮助 复制 Usage: backstab.exe <-n name || -p PID> [options] -n, 通过名称选择进程,需包含.exe后缀 -p, 通过PID选择进程 -l, 列举所有受保护进程的句柄 -k, 选择要终止的受保护进程的句柄 -x, 选择一个指定的句柄 -a, 添加SeDebugPrivilege -h, 显示该帮助菜单 Examples: backstab.exe -n cyserver.exe -k [kill cyserver] backstab.exe -n cyserver.exe -x E4C [Close handle E4C of cyserver] backstab.exe -n cyserver.exe -l [list all handles of cyserver] backstab.exe -p 4326 -k -d c:driver.sys [kill protected process with PID 4326, extract ProcExp driver to C: drive] 项目地址 Backstab:【GitHub传送门】  (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号