文章总结： 公开资料显示联想BootRepair.sys驱动存在BYOVD漏洞，攻击者可利用其0x222014IOCTL命令终止任意进程包括EDR防护。该驱动无DACL保护且被多数杀软白名单，凸显硬件厂商普遍缺乏SDL安全开发生命周期管理。建议安全厂商及时拉黑该驱动，红队可参考GitHub项目研究防御方案。 综合评分： 85 文章分类： 漏洞分析,恶意软件,红队,内网渗透,终端安全

又一BYOVD驱动问世，可终结任意进程

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年5月19日 23:37 江苏

在小说阅读器读本章

去阅读

又一BYOVD驱动问世，可终结任意进程

一、背景

日常研究发现，一个联想驱动被公开[1]可用于BYOVD攻击，具备终结任意进程的能力。代号Phantom Killer（幽灵杀手）。

经过复现，在安装了某国产”杀毒”软件的 windows-11-x64-24H2下，整个过程没有受到任何阻止。由于该驱动非常知名，杀毒软件可能默认白名单。

PhantomKiller复现

BootRepair.sys可能是联想电脑管家附带的合法驱动程序，推测应该是用于系统修复/启动修复功能。该驱动没有DACL，意味着任何用户/进程都能与这个驱动通信，包括低权限用户。二是暴露危险的 IOCTL 命令0x222014，该IOCTL接受一个 4 字节的 PID 并调用ZwTerminateProcess。作者发现了这个缺陷并公开了技术细节。

驱动信息

| 字段 | 值 | | — | — | | 文件名称 | BootRepair.sys | | SHA256 | 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946 | | 签名者 | 联想（赛门铁克 Class 3 SHA256 代码签名 CA） | | 编译时间 | 2018-01-03 | | 架构 | x64 | | VT 检测结果 | 0/71 截至5月19日23点 |

VT 检测结果

完整报告：幽灵杀手：逆向工程并利用联想驱动程序终止EDR进程[2]

二、修复方案

对于杀毒软件厂商，无非是将其拉黑。对于红队，估计马上会被加入到BYOVD全球集合BYOVD[3]。不过话说回来，可以跟着学习下这篇文章别人怎么做的。

三、总结

一个合法签名的内核驱动，可能比勒索软件更危险。它的存在不是特例，而是硬件与工具厂商普遍缺乏安全开发生命周期（SDL）经验的缩影。从戴尔的 dbutil_2_3.sys 到联想的 BootRepair.sys，再到技嘉、华硕等多个厂商的类似问题，攻击者早已将“合法驱动滥用”作为提权和持久化的标准手段。

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• • 仅可用于已获得书面授权的目标系统测试；
• • 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

引用链接

[1] : https://github.com/redteamfortress/PhantomKiller [2] 幽灵杀手：逆向工程并利用联想驱动程序终止EDR进程: https://medium.com/@jehadbudagga/phantom-killer-reverse-engineering-and-weaponizing-a-lenovo-driver-to-terminate-edr-processes-9191cd06374f [3] BYOVD: https://github.com/BlackSnufkin/BYOVD

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《又一BYOVD驱动问世，可终结任意进程》