文章总结: 本文介绍HDKiller工具,利用BYOVD技术绕过火绒与WindowsDefender的PPL及内核驱动保护,强制终止其核心进程。该工具解决了用户态无法关闭受保护杀软的问题,仅需管理员权限及目标PID即可一键瘫痪目标防护。文章展示了针对火绒和Defender的具体操作演示与效果,并提到工具需加入特定圈子获取。 综合评分: 75 文章分类: 红队,安全工具,终端安全,免杀,内网渗透
实战必备|一键击溃 火绒 / Defender HDKiller全解析
原创
星夜AI安全 星夜AI安全
星夜AI安全
2026年1月30日 08:21 吉林
⚔️ 实战必备|一键击溃 火绒 / Defender HDKiller全解析
📌各位可以将公众号设为星标⭐
📌这样就不会错过每期的推荐内容啦~
📌这对我真的很重要!
image
📌本平台分享的安全知识和工具信息源于公开资料及专业交流,仅供个人学习提升安全意识、了解防护手段,禁止用于任何违法活动,否则使用者自行承担法律后果。
📌所分享内容及工具虽具普遍性,但因场景、版本、系统等因素,无法保证完全适用,使用者要自行承担知识运用不当、工具使用故障带来的损失。
📌使用者在学习操作过程中务必遵守法规道德,面对有风险环节需谨慎预估后果、做好防护,若未谨慎操作引发信息泄露、设备损坏等不良后果,责任自负。
🔥 工具介绍
简单、粗暴、有效。
经过测试前几天发布的一键kill 工具火绒和Defender kill不掉,因为火绒、Defender 进程被设为 PPL(受保护进程轻量版),并由 内核驱动 强制保护,即使你注入到 SYSTEM 权限的 svchost,也只是用户态高权,没有内核态权限去绕过 PPL 与驱动级防护,所以杀不掉
所以重新写了一个基于BYOVD技术,专门针对火绒 defender 这种受内核保护的EDR的进程终结工具HDKiller。
本工具专为解决无法关闭的安全软件而生。无论对方拥有何种“自我保护”机制,使用本工具均可一键强制结束。
你是否遇到过:
- 想退出杀毒软件,却提示“拒绝访问”?
- 无法停止安全服务,导致测试受阻?
- 右键“结束任务”根本没反应?
HDKiller 是你的终极解决方案。
- 无视保护:火绒的自我保护,统统无效。
- 一键清除:无需复杂配置,只需一条指令,瞬间清空目标防护。
- 全面覆盖:完美支持 火绒安全软件、Windows Defender** 等主流杀软。
- 用完即走:运行结束后自动清理痕迹,干净利落。
⚡ 使用演示
请以 管理员身份 运行 CMD 或 PowerShell。
2. 击溃 火绒安全
列出火绒进程
tasklist | findstr "Hi"
火绒无法退出?一条命令直接带走。
HipsDaemon.exe是火绒的核心服务进程
HDKiller.exe <HipsDaemon的PID>
效果: 火绒核心服务停止,查杀功能失效。
3. 击溃 Windows Defender
列出Defender的进程
tasklist | findstr /i "MsMpEng SecHealthUI WdApp MsSense MpCmdRun WdNis"
Defender 总是自动开启?用这个强制关闭它。
HDKiller.exe <MsMpEng的PID>
效果: Windows 安全中心直接报错,实时防护彻底瘫痪。
📸 运行效果展示
运行工具后,你将看到如下提示,代表“猎杀”成功:
[+] Checking...
[+] Driver loaded successfully
[+] Connected to Driver successfully
[+] Get handle to protected process sucessfully
[+] Kill EDR Successfully
[+] Driver unloaded successfully
一旦出现 [+] Kill EDR Successfully,恭喜你,目标防护已解除。
免杀效果
defender
火绒
视频演示
defender
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
星夜AI安全已关注
分享视频
,时长00:41
0/0
00:00/00:41
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
00:41
00:41
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
实战必备|一键击溃 火绒 / Defender HDKiller全解析
观看更多
原创
,
实战必备|一键击溃 火绒 / Defender HDKiller全解析
星夜AI安全已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
#
火绒
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
星夜AI安全已关注
分享视频
,时长00:32
0/0
00:00/00:32
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
00:32
00:32
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
实战必备|一键击溃 火绒 / Defender HDKiller全解析
观看更多
原创
,
实战必备|一键击溃 火绒 / Defender HDKiller全解析
星夜AI安全已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
#
项目获取
圈子内获取
关注微信公众号后台回复入群 即可加入星夜AI安全交流群
圈子介绍
现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获“最佳攻击手”“突出贡献个人”等荣誉。
已产出的安全工具及成果包括:
- 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
- XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
- 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
- NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
- WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)_
- _DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
- fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
- RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
- 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
- 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
- 一键kill360 火绒 defender工具(一键击溃主流杀软)
后续将不断更新到内部圈子中 欢迎加入圈子
image
吾心吾行澄如明镜,所作所为皆为正义
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《实战必备|一键击溃 火绒 / Defender HDKiller全解析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
![[首次公开]2025白帽子SRC年度账单](/images/random/titlepic/13.jpg)
评论