#CVE-2025-52915 #CVE-2025-1055 VulnDriver

UNknownOoo

此漏洞使攻击者能够从内核模式终止任意进程,绕过合法安全工具所依赖的用户模式保护

CVE-2025-52915: A BYOVD Evolution Story

Usage

Place the vulnerable K7RKScan.sys in the same folder as the executable.
Provide a process name or PID.
(The file must be named K7RKScan.sys.)

aboringman

前



后



UPDATE：两个驱动都改了试过了，结果一致，都是加载失败

UNknownOoo

aboringman 发表于 2025-9-11 12:36
似乎行不通（

忘记补充了，要将其中一个驱动重命名为“K7RKScan.sys”

Rukia

byovd 可以成功防御
BEST 防篡改
防篡改功能检测到试图篡改受保护进程的行为。攻击已被阻止。 检测到的驱动程序路径：\??\C:\Users\richardwilliams\Downloads\Release\K7RKScan.sys 检测到的进程路径：C:\Users\richardwilliams\Downloads\Release\K7Terminator.exe 目标进程路径：C:\Program Files\Bitdefender\Endpoint Security\EPProtectedService.exe 检测ID：TamperDetection.5f7475de7279b315

LPE倒是能结束掉BEST
EPSecurityService.exe进程

Curve25519

沙盘中解压 miss，双击 K7Terminator.exe 触发 LiveGaurd 分析，miss

2025/9/11 12:54:49;2EA0C38C0ABDC1860CFCA89B968E4ABEB175D6A2;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\K7Terminator.exe;15360;可执行文件;自动;ESET LiveGuard;DESKTOP-K07940I\Admin;;

2025/9/11 12:55:04;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;DESKTOP-K07940I\Admin
2025/9/11 12:56:33;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;DESKTOP-K07940I\Admin

Rukia

Curve25519 发表于 2025-9-11 12:59
沙盘中解压 miss，双击 K7Terminator.exe 触发 LiveGaurd 分析，miss

2025/9/11 12:54:49;2EA0C38C0ABDC ...

emmm
用命令行试试看 能不能结束掉ESET的进程

莒县小哥

Komeiji-Reimu

冰盾拦byovd

ulyanov2233

我这里闪一下就自退不知道怎么回事，名字也改了

ongarabazanade