PhantomKiller

PhantomKiller 是一个利用合法签名的联想内核驱动来终止任意进程（包括受EDR/AV保护的进程）的工具。它通过滥用联想PC管理器附带的`BootRepair.sys`驱动程序，该驱动程序暴露了一个没有DACL限制的设备对象，并提供了一个不进行访问检查和调用者验证的IOCTL接口，从而能够接受4字节的PID并调用`ZwTerminateProcess`来终止指定进程。此项目特别适用于红队测试中绕过端点检测与响应(EDR)软件的场景，允许在获得低权限用户访问后加载驱动或自带已签名驱动以终止安全软件进程，为后续攻击铺平道路。请注意，该项目仅供教育及授权的安全研究用途。