[原创]一个漏洞驱动利用以结束杀软进程

一个漏洞驱动利用
写这篇文章主要是探讨一下恶意软件如何构造恶意IOCTL以结束杀毒软件进程，实现BYOVD
漏洞驱动总体评估
Zemana Anti Malware 是一款第三方反恶意软件产品，其内核驱动负责提供底层系统防护功能，包括进程保护、注册表监控、文件访问拦截等。然而，经过逆向分析发现，该驱动在实现用户态与内核态通信（IOCTL）时存在严重的安全缺陷：关键 IOCTL 缺乏调用者身份验证，导致任意进程均可注册自身为“可信”进程，进而滥用驱动提供的特权操作（如终止任意进程、读写磁盘、修改注册表等）。该漏洞属于典型的内核权限提升漏洞（Elevation of Privilege, EoP），攻击者可利用其完全瓦解系统的安全防御。
本报告详细分析该漏洞的技术细节、影响范围及修复方案，旨在帮助安全社区理解风险并推动厂商及时修复。
驱动概述
Zemana 驱动在系统启动时加载，创建一个名为 \Device\ZemanaAntiMalware 的设备对象，并设置符号链接 \DosDevices\ZemanaAntiMalware（用户态可通过 \.\ZemanaAntiMalware 访问）。驱动通过 IRP 主功能代码 IRP_MJ_DEVICE_CONTROL 处理来自用户态的各种控制请求（IOCTL），实现反恶意软件的核心功能。


逆向分析表明，驱动支持数十种 IOCTL 功能，覆盖以下类别：

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-290031.htm

2年前的，还可以用？能不能发个SYS 出来啊？


最后于 2026-2-19 22:03
被dayang编辑

，原因： 增加呢日哦那

dayang

2年前的，还可以用？能不能发个SYS 出来啊？
同求