文章总结： 该文档分析了Windows内核驱动程序ProcessMonitorDriver.sys中的CVE-2026-0828漏洞，该漏洞允许用户态程序通过未授权IOCTL接口终止任意受保护进程。研究项目KillChain提供了概念验证工具，演示了如何部署漏洞驱动、终止系统进程（如WindowsDefender）并实现持久化攻击。文档强调了内核驱动安全缺陷对系统防护的严重威胁，并警示BYOVD攻击手法的实际风险。 综合评分： 92 文章分类： 漏洞分析,恶意软件,红队,内网渗透,终端安全

突破进程保护：利用 ProcessMonitorDriver.sys – CVE-2026-0828

oxfemale oxfemale

securitainment

2026年4月16日 10:24 中国香港

在小说阅读器读本章

去阅读

| 原文链接 | 作者 | | — | — | | https://core-jmp.org/2026/04/breaking-process-protection-exploiting-cve-2026-0828-in-processmonitordriver-sys/ | oxfemale |

引言

Windows 内核驱动程序 ProcessMonitorDriver.sys中近期披露的漏洞 CVE-2026-0828暴露了一项危险能力：任何获取到该设备句柄的用户态应用程序，均可在无需经过适当访问控制检查的情况下，终止任意进程，包括受保护的系统进程。该漏洞有效绕过了 Windows 用于保护关键系统服务与安全组件的正常安全模型。

为展示此漏洞的危害，KillChain研究项目提供了一个概念验证用户态工具。该工具与存在漏洞的驱动程序交互，利用其 IOCTL 接口，直接从用户空间终止受保护进程。

https://github.com/oxfemale/KillChain

漏洞概述

该漏洞根源在于驱动程序暴露了一个 IOCTL 处理接口，该接口接收进程标识符（PID）作为输入，并直接向内核驱动发出终止目标进程的指令。由于驱动未对调用方权限进行校验，也未执行任何安全检查，任何能够打开该设备句柄的程序均可请求终止系统服务、安全软件或受保护进程。

这一设计缺陷为攻击者创造了一个强大的利用原语：

• 终止安全工具，如杀毒软件或 EDR 进程
• 关闭负责执行保护措施的系统服务
• 干扰关键 Windows 组件的正常运行
• 为进一步的后渗透活动创造条件

KillChain 研究工具

KillChain项目展示了如何将该漏洞付诸实际利用。工具将存在漏洞的驱动程序直接内嵌于可执行文件中，并在运行时动态完成部署。

整体执行流程大致如下：

1. 解析命令行参数（PID 或进程名称）
2. 将内嵌驱动程序释放至临时目录
3. 将其注册为内核服务
4. 通过 NtLoadDriver加载驱动程序
5. 打开设备 \\.\STProcessMonitorDriver
6. 发送 IOCTL 请求，指示驱动程序终止目标进程

驱动程序对外暴露如下控制码：

IOCTL_KILL_PROCESS = 0xB822200C

该 IOCTL 接收目标 PID，并直接在内核空间完成进程终止操作。

示例：在 Windows 11 最新更新环境下终止 Windows Defender：

扩展功能

除基础进程终止外，本研究工具还实现了多项实战化功能：

• 按 PID 或进程名称终止目标进程

• 持久化循环

  ——持续不断地终止目标进程

• 可选：通过注册表禁用 Windows Defender

• 内嵌驱动部署机制

• 可配置的日志记录系统

• 自动驱动清理与卸载

上述能力充分展示了存在漏洞的驱动程序如何在真实攻击链中被武器化利用。

安全影响

以 CVE-2026-0828为代表的内核驱动漏洞格外危险——它们运行于 Windows 系统的最高权限层级。一旦存在漏洞的驱动被成功加载，攻击者即可借此绕过通常用于保护关键进程的操作系统防护机制。

此类漏洞在自带漏洞驱动（Bring Your Own Vulnerable Driver，BYOVD）攻击中被广泛滥用：攻击者会故意加载一个经过签名却存在漏洞的驱动程序，从而获取内核级操作权限。

总结

CVE-2026-0828 揭示了内核驱动中一个看似简单的逻辑缺陷如何动摇 Windows 核心安全防护体系。由于驱动暴露了一个不受任何访问限制的进程终止 IOCTL 接口，用户态代码得以在未经授权的情况下任意终止受保护进程。KillChain概念验证工具清晰说明了攻击者能够如何将这一弱点付诸实战，再次强调了内核驱动开发中严格访问控制与输入校验的性。

#

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment oxfemale oxfemale《突破进程保护：利用 ProcessMonitorDriver.sys – CVE-2026-0828》