[[417575]]

關(guān)于Backstab

Backstab是一款功能強(qiáng)大的安全研究工具，在該工具的幫助下，廣大研究人員可以輕松終止那些受反惡意軟件產(chǎn)品保護(hù)的進(jìn)程。

當(dāng)你拿到了目標(biāo)設(shè)備的本地管理員憑證之后，你發(fā)現(xiàn)EDR仍然“在線”，該怎么辦呢?卸載鉤子或者直接系統(tǒng)調(diào)用針對(duì)EDR也無(wú)法起作用，又該怎么辦呢?沒(méi)錯(cuò)，我們?yōu)楹尾恢苯咏K止相關(guān)進(jìn)程呢?

Backstab這款工具能夠通過(guò)利用sysinternals的進(jìn)程管理驅(qū)動(dòng)器(ProcExp)終止受反惡意軟件產(chǎn)品保護(hù)的進(jìn)程，而這個(gè)驅(qū)動(dòng)器是由微軟簽名的。

工具運(yùn)行機(jī)制

ProcExp有一個(gè)在啟動(dòng)時(shí)加載的帶簽名的內(nèi)核驅(qū)動(dòng)器，而這個(gè)驅(qū)動(dòng)器將允許ProcExp終止那些即使作為管理員也無(wú)法終止的句柄。當(dāng)我們查看到UI時(shí)，你可能無(wú)法終止受保護(hù)的進(jìn)程，但可以終止它的句柄，因?yàn)镻rocExp UI會(huì)指示內(nèi)核驅(qū)動(dòng)程序終止這些句柄。而Backstab能做到同樣的事情，只不過(guò)沒(méi)有提供UI。

Backstab會(huì)做哪些事情?

• 將嵌入式驅(qū)動(dòng)器存儲(chǔ)至磁盤上;
• 創(chuàng)建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;
• 由于需要加載驅(qū)動(dòng)器，因此獲取SE_PRIVILEGE_ENABLED權(quán)限;
• 使用NtLoadDriver加載驅(qū)動(dòng)器以避免創(chuàng)建服務(wù);
• 創(chuàng)建的注冊(cè)表項(xiàng)被刪除(執(zhí)行期間服務(wù)不可見);
• 通過(guò)DeviceIoControl與驅(qū)動(dòng)器通信;
• 調(diào)用NtQuerySystemInformation實(shí)現(xiàn)進(jìn)程句柄枚舉;

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/Yaxser/Backstab 

工具使用幫助

Usage: backstab.exe <-n name || -p PID> [options]   
 
-n, 通過(guò)名稱選擇進(jìn)程，需包含.exe后綴 
 
-p, 通過(guò)PID選擇進(jìn)程 
 
-l, 列舉所有受保護(hù)進(jìn)程的句柄 
 
-k, 選擇要終止的受保護(hù)進(jìn)程的句柄 
 
-x, 選擇一個(gè)指定的句柄 
 
-d, 指定ProcExp提取路徑 
 
-s, 指定服務(wù)名稱注冊(cè)表鍵 
 
-u, 卸載ProcExp驅(qū)動(dòng)器 
 
-a, 添加SeDebugPrivilege 
 
-h, 顯示該幫助菜單 
 
  
 
Examples: 
 
backstab.exe -n cyserver.exe -k [kill cyserver] 
 
backstab.exe -n cyserver.exe -x E4C [Close handle E4C of cyserver] 
 
backstab.exe -n cyserver.exe -l [list all handles of cyserver] 
 
backstab.exe -p 4326 -k -d c:\\driver.sys [kill protected process with PID 4326, extract ProcExp driver to C:\ drive] 

項(xiàng)目地址

Backstab：【GitHub傳送門】