关于BackstabBackstab是一款功能强大的安全研究工具,可让研究人员轻松杀死受反恶意软件产品保护的进程。获取目标设备的本地管理员凭证后发现EDR仍然“在线”怎么办?如果卸载挂钩或直接系统调用对EDR不起作用,您应该怎么办?是的,为什么我们不直接杀掉关联进程呢?Backstab是一种工具,它通过使用由Microsoft签名的sysinternals进程管理驱动程序(ProcExp)来杀死受反恶意软件产品保护的进程。ProcExp有一个在启动时加载的签名内核驱动程序,这个驱动程序将允许ProcExp终止即使以管理员身份也无法终止的句柄。当我们看UI时,你可能无法终止受保护的进程,但你可以终止它的句柄,因为ProcExpUI指示内核驱动程序终止这些句柄。Backstab可以做同样的事情,但不提供UI。背刺有什么作用?将嵌入式驱动程序存储到磁盘;创建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;获取SE_PRIVILEGE_ENABLED因为需要加载驱动程序;使用NtLoadDriver挂载驱动,避免创建服务;创建的注册表项被删除(该服务在执行期间不可见);通过DeviceIoControl与驱动通信;调用NtQuerySystemInformation实现进程句柄枚举;工具下载研究人员可以使用以下命令将项目的源代码克隆到本地:gitclonehttps://github.com/Yaxser/Backstab工具使用帮助Usage:backstab.exe<-nname||-pPID>[options]-n,按名称选择进程,需要包含.exe后缀-p,按PID选择进程-l,列出所有被保护进程的句柄-k,选择被保护进程的句柄终止-x,选择一个指定的句柄-d、指定ProcExp解压路径-s,指定服务名注册表项-u,卸载ProcExp驱动-a,添加SeDebugPrivilege-h,显示帮助菜单例子:backstab.exe-ncyserver.exe-k[killcyserver]backstab.exe-ncyserver.exe-xE4C[ClosehandleE4Cofcyserver]backstab.exe-ncyserver.exe-l[listallhandlesofcyserver]backstab.exe-p4326-k-dc:\\driver.sys[killprotectedprocesswithPID4326,extractProcExpdrivertoC:\drive]项目地址Backstab:[GitHub门户]
