项目地址：https://github.com/BlackSnufkin/BYOVD

[![裁剪 - 2025年8月28日 下午3:39:19](/media/202605/21cfad697d6e481b8bee697e035cb5d02651.png)](https://private-user-images.githubusercontent.com/61916899/483153706-3d4b6944-770c-47c8-883b-f4d9bb90eb4d.png?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.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.Qh6zzbDDmafk5VjTYubS-SWmtdNXad1KFMoT04TynY8)

**BYOVD**是一系列 PoC，演示了如何利用易受攻击的驱动程序来禁用 AV/EDR 解决方案。

**BYOVD（自带驱动程序禁用）技术**最近在攻击性安全领域迅速流行起来，尤其是在 SpyBoy 的_Terminator_（售价 3000 美元）和_ZeroMemoryEx Blackout_项目等工具发布之后。这些工具利用驱动程序中的漏洞来禁用 AV/EDR 代理，从而降低检测率，为进一步攻击创造条件。

该存储库包含几个为教育目的而开发的 PoC，帮助研究人员了解如何滥用这些驱动程序来终止进程。

该项目以**Rust Cargo 工作区的**形式组织。大多数 PoC 共享一个公共库（`byovd-lib`），该库处理样板代码：驱动程序服务生命周期、IOCTL 分发、进程监控、权限调整和清理。每个 killer 都是一个轻量级二进制文件（约 50-100 行），仅定义其驱动程序特定的配置。**`K7Terminator`它们`Astra64-RW`都是独立的**——它们有自己的`[workspace]`声明，并且直接从各自的目录构建，而不是通过根工作区构建。

```
BYOVD/
├── Cargo.toml                       # Workspace root (deps + release profile)
├── Cargo.lock
├── README.md
├── LICENSE
│
├── byovd-lib/                       # Shared library
│   ├── Cargo.toml
│   └── src/
│       ├── lib.rs                   # DriverConfig trait + run() / send_ioctl() / run_monitor()
│       ├── service.rs               # ByovdDriver -- SCM lifecycle (install/start/stop_and_delete)
│       ├── device.rs                # DeviceHandle -- 5 typed IOCTL dispatch shapes
│       ├── handle.rs                # WinHandle / ScHandle -- RAII handle wrappers (Send + Sync)
│       ├── process.rs               # find_pid_by_name / find_all_pids_by_name
│       ├── monitor.rs               # run_monitor_loop (closure-based) + setup_ctrlc_handler
│       ├── privilege.rs             # enable_privilege / ensure_running_as_local_system
│       └── util.rs                  # to_wstring / to_cstring / get_current_dir
│
├── Astra64-RW/                      # EnTech Astra32 / TVicHW astra64.sys -- standalone, kernel R/W demo (Shadow SSDT hijack -> SYSTEM)
├── BdApiUtil-Killer/                # Baidu BdApiUtil64 (CVE-2024-51324)
├── CcProtect-Killer/                # CnCrypt CcProtect
├── GameDriverX64-Killer/            # Fedeen GameDriverX64 (CVE-2025-61155)
├── GoFlyDrv-Killer/                 # Golink GoFlyDrv
├── K7Terminator/                    # K7 RKScan -- standalone, LPE + BYOVD modes
├── Ksapi64-Killer/                  # Kingsoft ksapi64
├── NSec-Killer/                     # NSEC NSecKrnl (ValleyRAT BYOVD reproduction)
├── PoisonX-Killer/                  # Microsoft PoisonX (j3h4ck reproduction)
├── STProcessMonitor-Killer/         # Safetica STProcessMonitor (CVE-2025-70795, v114 + v2618)
├── TfSysMon-Killer/                 # ThreatFire sysmon
├── UnknownKiller/                   # unattributed unknown.sys
├── Viragt64-Killer/                 # Tg Soft viragt64
├── Wsftprm-Killer/                  # Topaz wsftprm (CVE-2023-52271)
└── Xkpsm-Killer/                    # JiranJikyosoft X-Keeper xkpsm
```

免杀致盲底层驱动BYOVD