文章总结： 本文分享了在后渗透场景下利用BYOVD技术绕过赛门铁克杀软防护的实战方法，详细介绍了驱动文件测试、利用程序编写、免杀处理等关键步骤，通过加载带有漏洞的驱动文件成功结束杀软进程，最后推广了付费圈子获取完整源码。 综合评分： 60 文章分类： 实战经验,红队,免杀,内网渗透

BYOVD攻击结束赛门铁克进程

原创

词不达意 词不达意

词不达意安全团队

2026年3月6日 14:32 上海

声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担，禁止用于任何非法渗透测试，以及无授权违法测试，请遵守中华人民共和国网络安全法。

前言

后渗透场景下，遇到赛门铁克横向攻击被拦截，通过BYOVD技术结束杀软进程

驱动测试

首先本地环境测试驱动文件，在赛门铁克环境下是否被拉黑，更新最新规则，发现没有被查杀

加载驱动文件查看是否运行正常，目标是Windows11，我本地是Windows10，可以正常加载，最好是同系统版本测试，我是因为时间比较赶急着用，可以看到正常加载

sc create test type= kernel binPath= C:\Users\test\Desktop\test\testdriver.sys
sc start test

造轮子

开始编写利用程序，使用BYOVD技术攻击时，驱动文件是要落地目标环境加载的，我这里先把.sys驱动文件转换为十六进制字节 然后将驱动命名为svg.dat，放在C:\Users\Public目录下

接着使用命令加载运行驱动

利用驱动漏洞结束杀软进程 从Github复制了一份杀软进程

然后进行编译，放测试环境赛门铁克落地就秒

还是使用之前的后渗透工具免杀，把程序转成bin然后分离加载，落地不杀了

运行程序，结束赛门铁克进程

加入纷传获取源代码

纷传介绍

工具文件加入纷传获取，圈子专注红队终端安全对抗、社工钓鱼、免杀冲锋马、内网/域渗透，目前纷传价格200

往期内容

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：词不达意安全团队 词不达意 词不达意《BYOVD攻击结束赛门铁克进程》