#CVE-2025-52915 #CVE-2025-1055 VulnDriver

显示全部楼层 · 发表于 2025-9-11 15:24:51

ulyanov2233 发表于 2025-9-11 15:07
卡巴成功拦截，并且击杀exePS C:%users\kasperky> .\k7Terminator.exe -m byovd -p 19392
Mode: BYOVD ...

试试不带 byovd的命令行(

显示全部楼层 · 发表于 2025-9-11 15:27:16

Rukia 发表于 2025-9-11 15:24
试试不带 byovd的命令行(

指令我都试了防住了，我后面都没杀核心进程，杀的是ui界面，照样全被拦截

显示全部楼层 · 发表于 2025-9-11 15:50:06

本帖最后由 Curve25519 于 2025-9-11 16:00 编辑

Rukia 发表于 2025-9-11 13:03
emmm
用命令行试试看能不能结束掉ESET的进程

结束失败了。我启用了 Windows 的内核隔离，ekrn.exe 除了自我保护，似乎还受 Windows 保护，所以不知道是哪个起作用了

显示全部楼层 · 发表于 2025-9-11 16:10:03

本帖最后由 lsop1349987 于 2025-9-11 18:02 编辑

UNknownOoo 发表于 2025-9-11 14:41
emsi应该是拦截了非可信程序安装服务的行为，有条件的话可以测试下在安装了k7环境下使用LPE模式终止进程
...

没成功，如图，最新的应该修复了，emsi无反应
好吧换了个旧版的还是不行，关了防护也不行
但是byovd加驱开服务后再LPE后可以杀

显示全部楼层 · 发表于 2025-9-11 17:28:25

wowocock 发表于 2025-9-11 14:39
第一个是无脑杀，第二个好歹给PPL类进程留点面子。顺便说下火绒应该很快将自己的进程升级为PPL了。

这个真的是期待了，火绒进程升级为PPL真的是大好事

显示全部楼层 · 发表于 2025-9-11 17:38:21

Komeiji-Reimu 发表于 2025-9-11 13:19
冰盾拦byovd

我这边不拦截哎

显示全部楼层 · 发表于 2025-9-11 18:55:29

本帖最后由 Komeiji-Reimu 于 2025-9-11 19:18 编辑

wwwab 发表于 2025-9-11 17:38
我这边不拦截哎

没法拦利用，只能拦加载，用 -m指定byovd加驱会拦截，不然没法用

显示全部楼层 · 发表于 2025-9-11 19:34:42

Komeiji-Reimu 发表于 2025-9-11 18:55
没法拦利用，只能拦加载，用 -m指定byovd加驱会拦截，不然没法用

我这边重启之后又跑了一下，byovd mode确实拦了一下，LPE mode我再试试确认一下

这个样本好奇怪，在我这边好像不太稳定
我这边有的时候是LPE模式能跑，但是byovd模式加驱失败
有的时候是LPE模式卡住不能跑，但是byovd模式能跑

显示全部楼层 · 发表于 2025-9-11 19:48:20

本帖最后由 wwwab 于 2025-9-11 20:12 编辑

应该是这样的，之前可能是没摸准模式放跑了那个驱动。。

P.S. 总结一下测试时的三个注意事项，三个坑全被我给踩了一遍：
1. byovd mode会加载"K7RKScan.sys"驱动——要先将其中的一个驱动重命名为此文件名，否则会和被拦截之后一样：报告驱动加载失败。
2. byovd mode需要给予"K7Terminator.exe"管理员权限，否则会和被拦截之后一样：报告驱动加载失败。
3. LPE mode是当该驱动加载之后使用的模式，使用时不需要管理员权限（但是加载驱动需要），如果之前没有加载驱动的话会一直长时间卡在等待服务那里没有动静。

显示全部楼层 · 发表于 2025-9-11 21:31:19

SESC：AdvML.A！400

[病毒样本] #CVE-2025-52915 #CVE-2025-1055 VulnDriver

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源