文章总结： 本文深度剖析银狐黑产组织2020-2025年间采用的BYOVD（自带漏洞驱动）攻击技术，揭示其利用合法签名驱动漏洞获取内核权限以对抗安全软件的完整杀伤链。关键发现包括BYOVD已成其标准攻击模块、采用多驱动轮换策略、攻击目标从进程终止升级至内核回调卸载与HVCI绕过，并详细列举了其常用的漏洞驱动（如winio64.sys、capcom.sys）及其在物理内存读写、代码执行等方面的利用细节。文章最后提供了针对性的检测与防御建议。 综合评分： 88 文章分类： 恶意软件,漏洞分析,终端安全,威胁情报,红队

银狐黑产组织BYOVD攻击技术深度详解

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年6月22日 08:25 广东

在小说阅读器读本章

去阅读

深度剖析银狐黑产组织Bring Your Own Vulnerable Driver（BYOVD）攻击技术原理、漏洞驱动利用细节、内核对抗手段与防御体系构建

目录

• 一、执行摘要
• 二、BYOVD攻击技术概述
• 三、BYOVD攻击杀伤链全景
• 四、银狐组织使用的漏洞驱动深度剖析
• 五、漏洞驱动分类统计与趋势
• 六、BYOVD攻击技术原理分层架构
• 七、银狐BYOVD攻击演进时间线
• 八、核心漏洞驱动技术原理详解
• 九、银狐BYOVD攻击代码实现分析
• 十、BYOVD与HVCI/VBS对抗
• 十一、BYOVD攻击检测与防御
• 十二、LOLDrivers项目与威胁情报
• 十三、开源BYOVD工具与框架
• 十四、银狐BYOVD攻击案例复盘
• 十五、未来趋势与防御展望

一、执行摘要

1.1 核心发现

2020-2025年，银狐黑产组织在BYOVD（Bring Your Own Vulnerable Driver）攻击领域持续深耕，呈现五大关键趋势：

| # | 趋势 | 严重程度 | 核心变化 | | — | — | — | — | | 1 | BYOVD成为银狐标准攻击模块 | 🔴 极高 | 从2020年偶发使用到2025年几乎所有变种内置BYOVD能力 | | 2 | 漏洞驱动轮换策略日趋成熟 | 🔴 极高 | 单一驱动被微软阻止列表覆盖后，24-48小时内切换至替代驱动 | | 3 | 从进程终止到内核回调卸载 | 🔴 极高 | 攻击目标从简单杀进程升级为Patch内核回调、禁用ETW/AMSI | | 4 | HVCI绕过技术突破 | 🟠 高 | 2025年发现可绕过HVCI的漏洞驱动，VBS安全基线面临挑战 | | 5 | 驱动来源多元化 | 🟠 高 | 从硬件厂商驱动扩展至游戏反作弊、反Rootkit工具、系统诊断驱动 |

1.2 关键数据速览

💡 银狐组织2024-2025年使用BYOVD技术的变种比例从23%飙升至78%

💡 LOLDrivers.io数据库追踪2189个驱动样本，其中478个可绕过HVCI，781个未被微软阻止列表覆盖

💡 微软阻止列表覆盖1384个已知漏洞驱动，但银狐持续发现并利用列表外的新驱动

💡 WinIO64.sys是银狐最常使用的漏洞驱动，在15个独立变种中被发现

💡 2025年银狐开始使用多驱动轮换策略，同一变种内置3-5个漏洞驱动，根据目标环境自动选择

💡 从驱动释放到安全软件失效平均耗时2.3秒，传统安全产品响应窗口极短

二、BYOVD攻击技术概述

2.1 BYOVD定义与背景

BYOVD（Bring Your Own Vulnerable Driver）是一种攻击技术，攻击者将合法的、经过数字签名但存在安全漏洞的内核驱动程序部署到目标系统上，利用该驱动的漏洞接口获取内核级读写权限，进而实施安全软件对抗、权限提升、内核回调卸载等攻击操作。

| 维度 | 说明 | | — | — | | 核心原理 | 利用合法签名驱动的内核读写原语，绕过操作系统对未签名代码的加载限制 | | 攻击前提 | 目标系统允许加载已签名驱动（默认配置下Windows允许） | | 关键优势 | 无需自签名或泄露证书，利用厂商已签名驱动即可获得Ring 0权限 | | 首次大规模使用 | 2018年Slingshot APT组织使用ElbyCDIO.sys驱动 | | 银狐首次使用 | 2020年，使用WinIO64.sys驱动 |

2.2 BYOVD攻击与Rootkit的区别

| 对比维度 | BYOVD攻击 | 传统Rootkit | | — | — | — | | 驱动来源 | 合法厂商签名驱动 | 自开发驱动/泄露签名驱动 | | 签名状态 | 有效数字签名 | 无签名或泄露签名（易被吊销） | | 检测难度 | 极高（驱动本身合法） | 中高（驱动特征明显） | | 持久性 | 低（驱动不持久驻留） | 高（驱动常驻内核） | | 攻击模式 | 即用即删，用完即卸 | 长期驻留内核 | | 微软应对 | 阻止列表（易绕过） | 驱动签名强制（DSE） | | 典型代表 | 银狐、RobbinHood、BlackCat | Turla、Hazard |

2.3 Windows驱动签名演进

| 时间 | 机制 | 说明 | BYOVD影响 | | — | — | — | — | | Windows Vista | 内核模式代码签名（KMCS） | 64位系统要求驱动签名 | 无影响，合法签名驱动仍可加载 | | Windows 10 1607 | 驱动签名强制（DSE） | 要求WHQL认证或EV签名 | BYOVD成为绕过DSE的主要手段 | | Windows 10 1903 | Microsoft Vulnerable Driver Blocklist | 微软发布漏洞驱动阻止列表 | 部分缓解，但列表更新滞后 | | Windows 11 | VBS/HVCI | 基于虚拟化的安全隔离 | 显著增加BYOVD难度，但仍有绕过 | | Windows 11 22H2 | HVCI默认启用 | 新装系统默认开启HVCI | 部分漏洞驱动仍可绕过HVCI |

三、BYOVD攻击杀伤链全景

3.1 杀伤链阶段详解

银狐BYOVD攻击遵循六阶段杀伤链模型：

阶段一：初始感染

银狐组织通过多种方式将木马主程序投递至目标系统：

| 投递方式 | 技术细节 | 使用频率 | | — | — | — | | 钓鱼/社工投递 | 伪装税务通知、发票、合同等财税相关文档 | ★★★★★ | | 漏洞利用 | 利用N-Day漏洞（如CVE-2023-38831 WinRAR） | ★★★ | | 白+黑侧载 | 合法程序加载恶意DLL | ★★★★★ | | 供应链投毒 | 污染软件更新服务器 | ★★★ |

阶段二：驱动加载

木马主程序运行后，释放并加载漏洞驱动：

驱动加载典型流程：
1. 从资源段/加密数据中释放驱动文件到临时目录
2. 释放配套的驱动加载器（用户态组件）
3. 创建驱动服务（CreateServiceW）
4. 启动驱动服务（StartServiceW）
5. 通过DeviceIoControl与驱动建立通信
6. 验证驱动加载成功（获取版本号/功能码）

阶段三：安全对抗

利用漏洞驱动的内核读写能力，对安全软件实施多维度对抗：

| 对抗操作 | 技术原理 | 效果 | | — | — | — | | 终止安全进程 | 内核态调用PsTerminateProcess | 绕过用户态保护 | | 删除安全文件 | 内核态文件操作绕过文件保护 | 移除安全软件核心文件 | | 修改注册表 | 禁用安全软件自启动 | 重启后安全软件无法启动 | | Patch内核回调 | 修改PsSetLoadImageNotifyRoutine等回调 | 安全软件失去内核通知 | | 禁用ETW/AMSI | 修改EtwEventWrite/AmsiScanBuffer | 安全遥测和脚本检测失效 |

阶段四：木马部署

安全对抗完成后，部署核心木马模块：

• 加载核心木马至内存
• 注入合法进程（如svchost.exe、explorer.exe）
• 建立C2通信通道

阶段五：数据收集

木马驻留后执行数据窃取操作：

• 键盘记录（Keylogger）
• 凭据窃取（浏览器Cookie、数字证书）
• 屏幕截图

阶段六：攻击完成

• 数据渗出至C2服务器
• 远控操作（远程桌面、命令执行）

四、银狐组织使用的漏洞驱动深度剖析

4.1 漏洞驱动全景

银狐黑产组织在2020-2025年间使用过的漏洞驱动清单：

| 驱动名称 | 厂商 | 漏洞类型 | 签名状态 | 首次发现 | HVCI绕过 | | — | — | — | — | — | — | | WinIO64.sys | Shenzhen Huayi | 物理/内存读写 | 有效 | 2020 | 否 | | AsIO.sys / AsIO64.sys | ASUSTeK | 物理/内存读写 | 有效 | 2021 | 否 | | capcom.sys | Capcom | 任意代码执行 | 有效 | 2022 | 否 | | gdrv.sys | GIGABYTE | 内存读写 | 有效 | 2022 | 是 | | RTCore64.sys | MSI (Micro-Star) | MSR/内存读写 | 有效 | 2023 | 否 | | DBUtil_2_3.sys | Dell | 内存读写 | 有效 | 2023 | 否 | | ene.sys | ENE Technology | 内存读写 | 有效 | 2024 | 是 | | ProcExp152.sys | Sysinternals | 进程终止 | 有效 | 2023 | 否 | | TrueSight.sys | Resplendence | 内存读写 | 有效 | 2024 | 否 | | AsrDrv103.sys / AsrDrv64.sys | ASRock | IO端口访问 | 有效 | 2024 | 否 | | ElbyCDIO.sys | Elaborate Bytes | 内存读写 | 有效 | 2022 | 否 | | atillk64.sys | ASUS GPU Tweak | 内存读写 | 有效 | 2024 | 否 | | GLCKIO2.sys / GIO.sys | GIGABYTE | 内存/IO读写 | 有效 | 2023 | 否 | | iqvw64e.sys | Intel | 内存/网络访问 | 有效 | 2024 | 是 | | NalDrv.sys | Novell | 内存读写 | 有效 | 2023 | 否 | | procexp64.sys | Sysinternals | 进程终止 | 有效 | 2023 | 否 | | zam64.sys | Zemana | 进程终止 | 有效 | 2024 | 否 | | zamguard64.sys | Zemana | 进程终止 | 有效 | 2024 | 否 | | DBUtil_2_3.sys | Dell | 内存读写 | 有效 | 2023 | 否 | | PhyMem.sys | Shenzhen Huayi | 物理/内存读写 | 有效 | 2021 | 否 |

4.2 驱动功能分类

银狐使用的漏洞驱动按功能可分为四大类：

| 类别 | 功能 | 典型驱动 | 攻击用途 | | — | — | — | — | | 物理内存读写类 | 直接读写物理内存，可访问任意内核地址 | WinIO64、AsIO、PhyMem | 内核回调Patch、进程终止 | | 虚拟内存读写类 | 通过IOCTL读写虚拟内存 | DBUtil_2_3、ene.sys、TrueSight | 内核结构修改、回调卸载 | | 任意代码执行类 | 在内核态执行任意代码 | capcom.sys | 直接执行Shellcode | | 进程操作类 | 终止指定进程 | ProcExp、zam64、zamguard64 | 直接终止安全软件进程 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《银狐黑产组织BYOVD攻击技术深度详解》