一款可以干掉殺毒跟EDR的工具

文章由機(jī)器翻譯，該工具由國(guó)外安全研究員編寫(xiě)，如需使用請(qǐng)自行編譯，安全性自測(cè)！

工具介紹TrueSightKiller 是 CPP AV/EDR 殺手。此驅(qū)動(dòng)程序可用于啟用了 HVCI、loldrivers 阻止列表或 WDAC 的 Windows 23H2。HVCI 旨在確保內(nèi)核中執(zhí)行的代碼的完整性，但它無(wú)法防止所有可能的漏洞或可通過(guò)驅(qū)動(dòng)程序或系統(tǒng)接口執(zhí)行的操作。工具用法要使用 TrueSightKiller，您需要將truesight.sys 驅(qū)動(dòng)程序與可執(zhí)行文件位于同一位置。運(yùn)行可執(zhí)行文件時(shí)，將顯示一個(gè)選項(xiàng)菜單，您可以在其中指定進(jìn)程 ID 或名稱(chēng)。然后程序?qū)⑦M(jìn)入無(wú)限循環(huán)，持續(xù)監(jiān)控指定的進(jìn)程。若要停止程序并刪除服務(wù)，請(qǐng)發(fā)送 ctrl+c 命令。

使用建議

通過(guò) WDAC 阻止此驅(qū)動(dòng)程序或等待 Microsoft 執(zhí)行此操作（風(fēng)險(xiǎn)自負(fù)）

限制本地權(quán)限，審核和防止隱私攻擊。

工具下載https://github.com/MaorSabag/TrueSightKiller