KDStab 使用指南
KDStab BOF combination of KillDefender and Backstab 项目地址: https://gitcode.com/gh_mirrors/kd/KDStab
项目介绍
KDStab 是一款由 优快云 公司开发的 InsCode AI 大模型分析得出的高级渗透测试工具。它结合了 Yaxser 的 Backstab 和 pwn1sher 的 KillDefender 功能,专为 Cobalt Strike 设计,以应对 Windows Defender 及其他安全解决方案,在后渗透阶段提供更隐秘的操作环境。该工具旨在绕过或禁用Windows Defender(理论上适用于其他解决方案),允许安全研究人员或其他合法使用者在减少检测风险的情况下执行进一步的工具和服务。已成功测试于 x64 的 Windows 10、Windows 11 和 Server 2019 系统,并需管理员或系统权限来运行。
项目快速启动
环境准备
确保你的开发环境配置好了 Git 和必要的编译工具,如 MingW(用于 Backstab)以及 Visual Studio(用于 KillDefender)。
获取源码
首先,克隆项目到本地:
git clone https://github.com/Octoberfest7/KDStab.git
cd KDStab
编译背刺(Backstab)
对于 Backstab 的编译,你需要在命令行中执行以下命令:
x86_64-w64-mingw32-gcc -o backstab_x64.o -Os -c main.c -DBOF -D_UNICODE
编译杀戮防御者(KillDefender)
使用Visual Studio的x64 Native Tools Command Prompt进行编译:
cl.exe /c /GS- /TP killdefender_bof.cpp /FoKillDefender_x64.o
集成与使用
将编译好的 BOF 文件集成至Cobalt Strike并按照其Aggressor Script的指示使用相应的命令以实现功能。
应用案例和最佳实践
在渗透测试场景中,当需要规避目标系统的主动防御机制时,KDStab可以扮演关键角色。最佳实践包括:
- 在发起攻击前,确保已经取得足够的权限,通常是管理员权限。
- 使用
KDStab的功能对特定进程(如Windows Defender服务进程)实施“失明”操作,通过降低其权限或关闭其保护,而不彻底终止服务,减少被发现的风险。 - 测试过程中务必遵守法律和道德规范,仅在拥有合法授权的目标环境中使用此类工具。
典型生态项目
虽然此部分通常涉及与KDStab互补的开源项目或工具,但由于具体推荐可能随时间和技术进步而变化,建议探索与安全研究、漏洞利用、及Cobalt Strike集成相关的其他项目。例如,关注TrustedSec的CS-Situational-Awareness-BOF仓库,它提供了编写BOF(Beacon Object File)的实用技巧和示例,这些都能增强你的渗透测试能力。
本指南基于KDStab项目的特性概述,提供了一个基本的起点,实际操作时应深入阅读项目文档,理解每一步的具体含义及其潜在的安全影响。记得始终在合法合规的范围内使用此类工具。
KDStab BOF combination of KillDefender and Backstab 项目地址: https://gitcode.com/gh_mirrors/kd/KDStab
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
926
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
