工具介绍

利用gmer驱动程序有效地禁止使用或杀死EDR和AV，它可以流畅地绕过HVCI；该样本来自 loldrivers：https://www.loldrivers.io/drivers/7ce8fb06-46eb-4f4f-90d5-5518a6561f15/

关注【Hack分享吧】公众号，回复关键字【230614】获取下载链接

重现Spyboy技术，涉及通过滥用zam64.sys驱动程序终止所有EDR/XDR/AVs进程，该样本来自 loldrivers：https://www.loldrivers.io/drivers/49920621-75d5-40fc-98b0-44f8fa486dcc/

@观沧海师傅写的原理分析文章，大家可以去学习下；目前360已查杀，自行做下免杀处理 。

• https://www.yuque.com/swift001/share/rqai89zp57o1hz2e

使用方法

将Blackout.sys驱动程序放在与可执行文件相同的路径中，然后在以管理员身份运行的命令行下执行以下命令。

Blackout.exe -p <process_id>