freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用Backstab终止受保护的进程
2021-07-25 18:59:57

关于Backstab

Backstab是一款功能强大的安全研究工具,在该工具的帮助下,广大研究人员可以轻松终止那些受反恶意软件产品保护的进程。

当你拿到了目标设备的本地管理员凭证之后,你发现EDR仍然“在线”,该怎么办呢?卸载钩子或者直接系统调用针对EDR也无法起作用,又该怎么办呢?没错,我们为何不直接终止相关进程呢?

Backstab这款工具能够通过利用sysinternals的进程管理驱动器(ProcExp)终止受反恶意软件产品保护的进程,而这个驱动器是由微软签名的。

工具运行机制

ProcExp有一个在启动时加载的带签名的内核驱动器,而这个驱动器将允许ProcExp终止那些即使作为管理员也无法终止的句柄。当我们查看到UI时,你可能无法终止受保护的进程,但可以终止它的句柄,因为ProcExp UI会指示内核驱动程序终止这些句柄。而Backstab能做到同样的事情,只不过没有提供UI。

Backstab会做哪些事情?

将嵌入式驱动器存储至磁盘上;

创建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;

由于需要加载驱动器,因此获取SE_PRIVILEGE_ENABLED权限;

使用NtLoadDriver加载驱动器以避免创建服务;

创建的注册表项被删除(执行期间服务不可见);

通过DeviceIoControl与驱动器通信;

调用NtQuerySystemInformation实现进程句柄枚举;

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Yaxser/Backstab

工具使用帮助

Usage: backstab.exe <-n name || -p PID> [options]  

-n, 通过名称选择进程,需包含.exe后缀

-p, 通过PID选择进程

-l, 列举所有受保护进程的句柄

-k, 选择要终止的受保护进程的句柄

-x, 选择一个指定的句柄

-d, 指定ProcExp提取路径

-s, 指定服务名称注册表键

-u, 卸载ProcExp驱动器

-a, 添加SeDebugPrivilege

-h, 显示该帮助菜单

 

Examples:

backstab.exe -n cyserver.exe -k [kill cyserver]

backstab.exe -n cyserver.exe -x E4C [Close handle E4C of cyserver]

backstab.exe -n cyserver.exe -l [list all handles of cyserver]

backstab.exe -p 4326 -k -d c:\\driver.sys [kill protected process with PID 4326, extract ProcExp driver to C:\ drive]

项目地址

Backstab:GitHub传送门

# 进程保护 # Windows进程安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录