2026-03-06 18:38:58 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了针对WatchDogAnti-Malware驱动的BYOVD漏洞PoC工具。攻击者利用该微软签名驱动中的漏洞实现任意进程终止，成功绕过Bitdefender等安全软件防护。文章阐述了漏洞原理及PoC使用方法，并提供启用HVCI等防御建议。该工具仅供安全研究。 综合评分： 88 文章分类： 漏洞POC,漏洞分析,安全工具,红队

cover_image

WatchDogKiller：WatchDog Anti-Malware 驱动漏洞 PoC

NaNaBot NaNaBot

0x33 SEC

2026年3月6日 07:00 贵州

WatchDogKiller：WatchDog Anti-Malware 驱动漏洞 PoC

本文介绍一个针对 WatchDog Anti-Malware 驱动的权限绕过漏洞及 PoC 工具。

背景

2025年，Silver Fox APT 组织在攻击活动中利用了 Microsoft 签名的驱动 (wamsdk.sys) 来关闭安全产品。研究人员逆向分析后发现，最新版的 WatchDog 驱动 (amsdk.sys v1.1.100) 仍然存在可利用的任意进程终止漏洞。

截至本文发稿，该驱动未列入 LolDriver 或 HVCI 阻止列表。

技术细节

漏洞原理

该漏洞属于 BYOVD (Bring Your Own Vulnerable Driver) 类型。攻击者利用微软签名的合法驱动中的漏洞，实现以下操作：

注册进程 (IOCTL_REGISTER_PROCESS)
终止进程 (IOCTL_TERMINATE_PROCESS)
绕过驱动授权机制

影响范围

PoC 测试已成功终止以下安全产品的进程：

Bitdefender
Sophos
Kaspersky
其他受保护的 EDR/AV 进程

PoC 使用

⚠️ 仅供安全研究使用，请勿用于未授权系统。

1. 加载驱动

sc.exe create killer binPath="C:\Path\To\wamsdk.sys"&nbsp;type=kernel
sc.exe&nbsp;start&nbsp;killer

2. 运行 PoC

.\WatchDogKiller.exe

风险提示

防御建议

启用 HVCI (Hypervisor-protected code integrity)
监控驱动加载行为
关注 LolDriver 等驱动黑名单更新
限制管理员权限

参考链接

研究文章: Researching an APT Attack and Weaponizing It: The WatchDog BYOVD Story[1]
The Hacker News: Silver Fox Exploits Microsoft-Signed Driver[2]
项目地址: https://github.com/j3h4ck/WatchDogKiller[3]

⚠️ 免责声明

本工具及本文仅供 安全研究 和 教育目的 使用。

禁止用于：

未授权的系统渗透测试
任何非法活动
恶意攻击

使用者需自行承担一切法律风险。

引用链接

[1]Researching an APT Attack and Weaponizing It: The WatchDog BYOVD Story: https://medium.com/@jehadbudagga/researching-an-apt-attack-and-weaponizing-it-56daabee11c9

[2]Silver Fox Exploits Microsoft-Signed Driver: https://thehackernews.com/2025/09/silver-fox-exploits-microsoft-signed.html

[3]https://github.com/j3h4ck/WatchDogKiller

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x33 SEC NaNaBot NaNaBot《WatchDogKiller：WatchDog Anti-Malware 驱动漏洞 PoC》