一款可以干掉杀毒跟EDR的工具
2023-12-10 08:32:33 Author: 菜鸟学信安(查看原文) 阅读量:11 收藏

文章由机器翻译,该工具由国外安全研究员编写,如需使用请自行编译,安全性自测!

工具介绍
TrueSightKiller 是 CPP AV/EDR 杀手。此驱动程序可用于启用了 HVCI、loldrivers 阻止列表或 WDAC 的 Windows 23H2。HVCI 旨在确保内核中执行的代码的完整性,但它无法防止所有可能的漏洞或可通过驱动程序或系统接口执行的操作。
工具用法
要使用 TrueSightKiller,您需要将 truesight.sys 驱动程序与可执行文件位于同一位置。运行可执行文件时,将显示一个选项菜单,您可以在其中指定进程 ID 或名称。然后程序将进入无限循环,持续监控指定的进程。若要停止程序并删除服务,请发送 ctrl+c 命令。
使用建议
  1. 通过 WDAC 阻止此驱动程序或等待 Microsoft 执行此操作(风险自负)
  2. 限制本地权限,审核和防止隐私攻击。
工具下载
https://github.com/MaorSabag/TrueSightKiller

文章来源: http://mp.weixin.qq.com/s?__biz=MzU2NzY5MzI5Ng==&mid=2247499112&idx=1&sn=f713485b590937fe4a574529ebbddad7&chksm=fc9be7f7cbec6ee1b2bc0bb977b3263f54ec70032b16acfb59dbc1e268fda88dd1f20ac4db23&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh