- Автор темы
- Добавить закладку
- #21
А как это повлияет на результат? Допустим убью через cmd explorer.exe
Что за этим последует ? ЗАкинуть пробовал. Оно сразу удаляет это
-
XSS.stack #1 – первый литературный журнал от юзеров форума
AV\EDR CrowdStrike
- Автор темы SlowMan
- Дата начала
Что за этим последует ? ЗАкинуть пробовал. Оно сразу удаляет это
Ну смотри. Если можешь убить explorer значит можешь повысить привелигии, соответственно что-либо скачать или заинжектить код.
- Автор темы
- Добавить закладку
- #23
Права DA у меня. Конечно могу
GitHub - ph4nt0mbyt3/Darkside: C# AV/EDR Killer using less-known driver (BYOVD)
C# AV/EDR Killer using less-known driver (BYOVD). Contribute to ph4nt0mbyt3/Darkside development by creating an account on GitHub.
github.com
Попробовал?
- Автор темы
- Добавить закладку
- #26
Сейчас протестируем
- Автор темы
- Добавить закладку
- #27
Только суть в том что я пробовал вот таким киллером - https://github.com/zer0condition/mhydeath
Оно реально убивает процесс но как только запускаю нужный файл - процессы запускаются заново и файл блочит
А удалить файлы едрки после килла не пробовал?
Скорее всего не до конца убиваешь, больше похоже на hook.
указанных выше утилит недостаточно, необходима работа с ядерными коллбеками и драйверами-фильтрами
- Автор темы
- Добавить закладку
- #31
Пишет нету прав удалить файлы едрки
как вариант, ты можешь перезагрузится в сейф мод и сделать все что нужно в некоторых масштабах но снести не получится, но лсас стянешь точно