如何使用Backstab终止受保护的进程

关于Backstab

Backstab是一款功能强大的安全研究工具，在该工具的帮助下，广大研究人员可以轻松终止那些受反恶意软件产品保护的进程。

创新互联公司专业成都网站设计、成都网站建设、外贸网站建设，集网站策划、网站设计、网站制作于一体，网站seo、网站优化、网站营销、软文平台等专业人才根据搜索规律编程设计，让网站在运行后，在搜索中有好的表现，专业设计制作为您带来效益的网站！让网站建设为您创造效益。

当你拿到了目标设备的本地管理员凭证之后，你发现EDR仍然“在线”，该怎么办呢?卸载钩子或者直接系统调用针对EDR也无法起作用，又该怎么办呢?没错，我们为何不直接终止相关进程呢?

Backstab这款工具能够通过利用sysinternals的进程管理驱动器(ProcExp)终止受反恶意软件产品保护的进程，而这个驱动器是由微软签名的。

工具运行机制

ProcExp有一个在启动时加载的带签名的内核驱动器，而这个驱动器将允许ProcExp终止那些即使作为管理员也无法终止的句柄。当我们查看到UI时，你可能无法终止受保护的进程，但可以终止它的句柄，因为ProcExp UI会指示内核驱动程序终止这些句柄。而Backstab能做到同样的事情，只不过没有提供UI。

Backstab会做哪些事情?

• 将嵌入式驱动器存储至磁盘上;
• 创建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;
• 由于需要加载驱动器，因此获取SE_PRIVILEGE_ENABLED权限;
• 使用NtLoadDriver加载驱动器以避免创建服务;
• 创建的注册表项被删除(执行期间服务不可见);
• 通过DeviceIoControl与驱动器通信;
• 调用NtQuerySystemInformation实现进程句柄枚举;

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

 
 

  
  
git clone https://github.com/Yaxser/Backstab 
 
 

工具使用帮助

 
 

  
  
Usage: backstab.exe <-n name || -p PID> [options]   
  
  
 
  
  
-n, 通过名称选择进程，需包含.exe后缀 
  
  
 
  
  
-p, 通过PID选择进程 
  
  
 
  
  
-l, 列举所有受保护进程的句柄 
  
  
 
  
  
-k, 选择要终止的受保护进程的句柄 
  
  
 
  
  
-x, 选择一个指定的句柄 
  
  
 
  
  
-d, 指定ProcExp提取路径 
  
  
 
  
  
-s, 指定服务名称注册表键 
  
  
 
  
  
-u, 卸载ProcExp驱动器 
  
  
 
  
  
-a, 添加SeDebugPrivilege 
  
  
 
  
  
-h, 显示该帮助菜单 
  
  
 
  
  
  
  
  
 
  
  
Examples: 
  
  
 
  
  
backstab.exe -n cyserver.exe -k [kill cyserver] 
  
  
 
  
  
backstab.exe -n cyserver.exe -x E4C [Close handle E4C of cyserver] 
  
  
 
  
  
backstab.exe -n cyserver.exe -l [list all handles of cyserver] 
  
  
 
  
  
backstab.exe -p 4326 -k -d c:\\driver.sys [kill protected process with PID 4326, extract ProcExp driver to C:\ drive] 
 
 

项目地址

Backstab：【GitHub传送门】

网站栏目：如何使用Backstab终止受保护的进程
分享地址：http://www.shufengxianlan.com/qtweb/news20/394220.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联