有关Backstab
Backstab是一款功能齐全的安全性研究工具,在该工具的幫助下,众多研究工作人员可以轻轻松松终止这些受反恶意软件商品维护的过程。
当你取得了总体目标机器设备的当地管理人员凭据以后,你发觉EDR依然“线上”,应该怎么办呢?卸载掉勾子或是立即系统进程对于EDR也没法起功效,又怎么办呢?没有错,大家为什么不立即终止有关过程呢?
Backstab这款工具可以根据运用sysinternals的进程管理控制器(ProcExp)终止受反恶意软件商品维护的过程,而这一控制器是由微软公司签字的。
工具运行机制
ProcExp有一个在运作时载入的带昵称的核心控制器,而这一控制器将容许ProcExp终止这些即使做为管理人员也没法终止的句柄。在我们查询到UI时,你也许没法终止受保障的过程,但可以终止它的句柄,由于ProcExp UI会标示核心驱动软件终止这种句柄。而Backstab能保证一样的事儿,只不过是沒有给予UI。
Backstab会做什么事儿?
- 将内嵌式控制器储存至硬盘上;
- 建立HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;
- 因为必须载入控制器,因而获得SE_PRIVILEGE_ENABLED管理权限;
- 应用NtLoadDriver载入控制器以防止建立服务项目;
- 建立的注册表项被删掉(实行期内服务项目不由此可见);
- 根据DeviceIoControl与控制器通讯;
- 启用NtQuerySystemInformation完成过程句柄枚举类型;
工具免费下载
众多研究工作人员可以应用以下指令将该新项目源代码复制至当地:
工具应用协助
新项目详细地址
Backstab:【GitHub传送器】