byovd

简介

BYOVD 是一个可以通过合法但是存在漏洞的驱动，从而禁用av/edr的方法

BYOVD（Bring Your Own Vulnerable Driver）攻击是一种通过利用合法但存在漏洞的驱动程序实现内核级权限提升或系统控制的高级攻击技术。其核心原理在于攻击者将已知存在漏洞的驱动程序（通常由合法厂商签名但未及时修补）植入目标系统，通过加载这些驱动并触发漏洞，绕过操作系统安全机制（如强制驱动签名验证DSE），从而在内核态执行恶意操作。

其本质就在于如何才能找到Vulnerable 的驱动

尝试

我们可以通过一个项目来尝试这个功能

BlackSnufkin/BYOVD: Some POCs for my BYOVD research and find some vulnerable drivers (github.com)

编译过程，需要有rust 环境

交叉编译：

我习惯的在项目根目录创建.cargo/config

添加内容

[target.x86_64-pc-windows-gnu]
linker = "x86_64-w64-mingw32-gcc"
ar = "x86_64-w64-mingw32-gcc-ar"

然后在

rustup target add x86_64-pc-windows-gnu   

最后再

cargo build –release –target x86_64-pc-windows-gnu

这个项目，在bd 上已经不行了

再尝试下一个

ZeroMemoryEx/Blackout: kill anti-malware protected processes ( BYOVD) ( Microsoft Won) (github.com)

发现也是不行的