背景介绍

在日常工作中，我们深入分析了一起复杂的后门木马攻击事件。调查过程中，我们发现受感染终端的防病毒软件出现异常，无法正常工作，所有防护功能均被强制关闭。经过进一步的深入分析和溯源，我们确认攻击者使用了一种高级技术——**BYOVD**（Bring Your Own Vulnerable Driver）。这种技术通过利用合法但存在漏洞的内核驱动程序，成功强制终止了防病毒软件的运行，绕过了系统的安全防护机制，为后门木马的长期潜伏和恶意操作铺平了道路。

本次攻击事件不仅揭示了攻击者高超的技术手段，也凸显了BYOVD技术在规避安全软件和对抗传统防御机制中的强大威胁。

最终效果

该工具的核心原理是利用存在漏洞的合法驱动程序。具体操作步骤为：首先将包含漏洞的驱动程序释放到目标系统中，并通过合法的方式完成驱动程序的注册。一旦驱动成功加载到内核模式，攻击者便可通过发送特定的控制码（IOCTL，I/O Control Code）与驱动程序交互，从而利用其漏洞实现对系统的高权限操作。

下图这一过程充分展示了利用白驱动程序的技术威胁。攻击者无需开发复杂的内核漏洞攻击方法，只需找到合适的现成利用代码和漏洞驱动，便能轻松完成内核操作。例如，利用这些工具可关闭安全软件、劫持系统进程或篡改关键内存数据，进一步提升系统内的恶意行为隐蔽性和危害性。

详细信息

我们首先通过 VirusTotal 平台 (VT) 搜索并成功找到了一个易受攻击的白驱动程序。深入分析后发现，该驱动存在严重的可利用漏洞，可以被攻击者滥用来绕过系统的安全机制。

我们随即找到了一份公开的开源驱动利用代码，这类代码通常用于安全研究或漏洞验证，但也可能被不法分子滥用。通过仔细分析这份代码的工作原理，我们将其与先前在 VirusTotal 平台上找到的易受攻击白驱动程序相结合，成功构建了一条完整的利用链。

工程获取

关注公众号即可获取项目详情

关于我们

4SecNet 团队专注于网络安全攻防研究，目前团队成员分布在国内多家顶级安全厂商的核心部门，包括安全研究领域、攻防实验室等，汇聚了行业内的顶尖技术力量。团队在病毒木马逆向分析、APT 追踪、破解技术、红队工具开发等多个领域积累了深厚经验，并持续在复杂威胁对抗和攻防技术创新方面不断探索与突破。4SecNet 致力于通过技术共享与实践推动网络安全生态的持续进步。