日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用Backstab終止受保護的進程

關(guān)于Backstab

Backstab是一款功能強大的安全研究工具,在該工具的幫助下,廣大研究人員可以輕松終止那些受反惡意軟件產(chǎn)品保護的進程。

創(chuàng)新互聯(lián)公司專業(yè)成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè),集網(wǎng)站策劃、網(wǎng)站設(shè)計、網(wǎng)站制作于一體,網(wǎng)站seo、網(wǎng)站優(yōu)化、網(wǎng)站營銷、軟文平臺等專業(yè)人才根據(jù)搜索規(guī)律編程設(shè)計,讓網(wǎng)站在運行后,在搜索中有好的表現(xiàn),專業(yè)設(shè)計制作為您帶來效益的網(wǎng)站!讓網(wǎng)站建設(shè)為您創(chuàng)造效益。

當(dāng)你拿到了目標設(shè)備的本地管理員憑證之后,你發(fā)現(xiàn)EDR仍然“在線”,該怎么辦呢?卸載鉤子或者直接系統(tǒng)調(diào)用針對EDR也無法起作用,又該怎么辦呢?沒錯,我們?yōu)楹尾恢苯咏K止相關(guān)進程呢?

Backstab這款工具能夠通過利用sysinternals的進程管理驅(qū)動器(ProcExp)終止受反惡意軟件產(chǎn)品保護的進程,而這個驅(qū)動器是由微軟簽名的。

工具運行機制

ProcExp有一個在啟動時加載的帶簽名的內(nèi)核驅(qū)動器,而這個驅(qū)動器將允許ProcExp終止那些即使作為管理員也無法終止的句柄。當(dāng)我們查看到UI時,你可能無法終止受保護的進程,但可以終止它的句柄,因為ProcExp UI會指示內(nèi)核驅(qū)動程序終止這些句柄。而Backstab能做到同樣的事情,只不過沒有提供UI。

Backstab會做哪些事情?

  • 將嵌入式驅(qū)動器存儲至磁盤上;
  • 創(chuàng)建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;
  • 由于需要加載驅(qū)動器,因此獲取SE_PRIVILEGE_ENABLED權(quán)限;
  • 使用NtLoadDriver加載驅(qū)動器以避免創(chuàng)建服務(wù);
  • 創(chuàng)建的注冊表項被刪除(執(zhí)行期間服務(wù)不可見);
  • 通過DeviceIoControl與驅(qū)動器通信;
  • 調(diào)用NtQuerySystemInformation實現(xiàn)進程句柄枚舉;

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

 
 
    
  
  
  1. git clone https://github.com/Yaxser/Backstab 
    2.

工具使用幫助

 
 
    
  
  
  1. Usage: backstab.exe <-n name || -p PID> [options]   
    2.   
  
  2.  
    3.   
  
  3. -n, 通過名稱選擇進程,需包含.exe后綴 
    4.   
  
  4.  
    5.   
  
  5. -p, 通過PID選擇進程 
    6.   
  
  6.  
    7.   
  
  7. -l, 列舉所有受保護進程的句柄 
    8.   
  
  8.  
    9.   
  
  9. -k, 選擇要終止的受保護進程的句柄 
    10.   
  
  10.  
    11.   
  
  11. -x, 選擇一個指定的句柄 
    12.   
  
  12.  
    13.   
  
  13. -d, 指定ProcExp提取路徑 
    14.   
  
  14.  
    15.   
  
  15. -s, 指定服務(wù)名稱注冊表鍵 
    16.   
  
  16.  
    17.   
  
  17. -u, 卸載ProcExp驅(qū)動器 
    18.   
  
  18.  
    19.   
  
  19. -a, 添加SeDebugPrivilege 
    20.   
  
  20.  
    21.   
  
  21. -h, 顯示該幫助菜單 
    22.   
  
  22.  
    23.   
  
  23.   
    24.   
  
  24.  
    25.   
  
  25. Examples: 
    26.   
  
  26.  
    27.   
  
  27. backstab.exe -n cyserver.exe -k [kill cyserver] 
    28.   
  
  28.  
    29.   
  
  29. backstab.exe -n cyserver.exe -x E4C [Close handle E4C of cyserver] 
    30.   
  
  30.  
    31.   
  
  31. backstab.exe -n cyserver.exe -l [list all handles of cyserver] 
    32.   
  
  32.  
    33.   
  
  33. backstab.exe -p 4326 -k -d c:\\driver.sys [kill protected process with PID 4326, extract ProcExp driver to C:\ drive] 
    34.

項目地址

Backstab:【GitHub傳送門】


分享文章:如何使用Backstab終止受保護的進程
網(wǎng)頁URL:http://www.5511xx.com/article/dheggoc.html