EDR-XDR-AV-Killer：一键终止EDR/XDR/AVs进程，保护你的数据安全

EDR-XDR-AV-Killer：一键终止EDR/XDR/AVs进程，保护你的数据安全

EDR-XDR-AV-Killer Reproducing Spyboy technique, which involves terminating all EDR/XDR/AVs processes by abusing the zam64.sys driver 项目地址: https://gitcode.com/gh_mirrors/ed/EDR-XDR-AV-Killer

项目介绍

EDR-XDR-AV-Killer 是一个开源项目，它通过滥用 zam64.sys 驱动程序，实现了Spyboy技术的复现。该技术能够终止所有的EDR（Endpoint Detection and Response）、XDR（Extended Detection and Response）和AV（Antivirus）进程，为用户提供了一种高效的数据安全保护手段。

项目技术分析

核心技术

EDR-XDR-AV-Killer 的核心功能是通过模仿Spyboy技术，利用特定的驱动程序终止安全软件进程。Spyboy曾以3000美元的价格销售名为“Terminator”的软件，该软件正是采用了这一技术。项目借鉴了loldrivers中的样本，实现了类似的功能。

实现机制

项目使用了一个名为 Terminator.sys 的驱动程序，用户需要将该驱动程序放置在与可执行文件相同的路径下，并以管理员权限运行程序。程序运行期间，可以防止安全软件服务重新启动。

技术细节

• 驱动保护机制：驱动程序包含了仅允许受信任进程ID发送 IOCTL 的保护机制。如果未将进程ID添加到信任列表，每次尝试发送 IOCTL 时都会收到“访问拒绝”的消息。但这一机制可以通过向驱动程序发送包含PID的IOCTL来轻松绕过，从而允许控制多个关键的IOCTL。

• 反调试机制：项目中包含了简单的反调试功能，以增强程序的安全性。

• Windows Defender 策略调整：项目中提供了一个示例，通过执行以下命令，使Windows Defender忽略 .sys 文件：

exec.Command("powershell", "-Command", "Set-MpPreference -ExclusionExtension *.sys -Force").Run()

项目及技术应用场景

EDR-XDR-AV-Killer 的主要应用场景包括但不限于以下几种：

• 安全测试：安全研究员在进行渗透测试时，可能需要临时关闭目标系统的安全软件，以便更好地评估系统安全性。

• 恶意软件分析：安全分析师在分析恶意软件时，可能需要关闭安全软件，以避免分析过程中被干扰。

• 数据恢复：在某些情况下，用户可能需要访问被安全软件隔离的文件，此时可以使用本项目关闭安全软件，以便进行数据恢复。

项目特点

1. 高度集成：项目将所有功能集成在一个简单的工具中，用户无需复杂配置即可使用。

2. 易于使用：只需将驱动程序放在可执行文件相同路径下，并以管理员权限运行即可。

3. 可定制性强：项目提供了反调试和Windows Defender策略调整等功能，用户可以根据需要进行定制。

4. 安全性高：通过滥用驱动程序实现功能，有效避免了传统方法可能带来的风险。

总结，EDR-XDR-AV-Killer 是一个功能强大的开源项目，它为用户提供了一种高效、安全的数据保护手段。无论你是安全研究员、分析师还是普通用户，都可以从中受益，确保你的数据安全。

EDR-XDR-AV-Killer Reproducing Spyboy technique, which involves terminating all EDR/XDR/AVs processes by abusing the zam64.sys driver 项目地址: https://gitcode.com/gh_mirrors/ed/EDR-XDR-AV-Killer