Resultados de Testes

KCD2 Silenciador (EDR Blinder)

KCD2 vs CrowdStrike Falcon - 100% APROVADO

Remove 70+ callbacks do kernel, permite execucao de ferramentas bloqueadas. Testado 02/06/2026.

Teste	Metodo	Resultado
Listagem de callbacks (-l)	RDP + BRc4	70+ callbacks identificados
Remocao de callbacks (-d)	RDP + BRc4	Todos zerados em 15s
Ferramenta apos blinder	RDP + BRc4	Executou, credenciais extraidas
Deteccao pelo Falcon	—	Nenhum alerta
Crash/BSOD	—	Nenhum
Persistencia apos reboot	—	NAO persiste (esperado)

Teste

Metodo

Resultado

Listagem de callbacks (-l)

RDP + BRc4

70+ callbacks identificados

Remocao de callbacks (-d)

RDP + BRc4

Todos zerados em 15s

Ferramenta apos blinder

RDP + BRc4

Executou, credenciais extraidas

Deteccao pelo Falcon

—

Nenhum alerta

Crash/BSOD

—

Nenhum

Persistencia apos reboot

—

NAO persiste (esperado)

Print Monitor DLL (Persistencia)

Sem CrowdStrike

Ambiente	SO	EDR	Resultado
D1	Windows 10	Defender	Funciona, persiste reboot
D4	Server 2019	Defender	Funciona, persiste reboot
D5	Server 2022	Defender	Funciona, persiste reboot
D6	Server 2025	Defender	Funciona, persiste reboot

Ambiente

EDR

Resultado

Windows 10

Defender

Funciona, persiste reboot

Server 2019

Defender

Funciona, persiste reboot

Server 2022

Defender

Funciona, persiste reboot

Server 2025

Defender

Funciona, persiste reboot

Com CrowdStrike Falcon

BLOQUEADO - Mesmo com KCD2! Testamos rodar o blinder (KCD2) primeiro e depois reiniciar o Spooler. A DLL ainda nao carrega. O bloqueio do CrowdStrike acontece em camada diferente dos callbacks que o KCD2 remove.

Teste	Resultado	Detalhe
DLL sem assinatura	Bloqueado	LoadLibrary retorna NULL
DLL com cert expirado	Bloqueado	Assinatura invalida nao ajuda
DLL + KCD2 (blinder ativo)	Bloqueado	Spooler reinicia, DLL nao carrega

Teste

Resultado

Detalhe

DLL sem assinatura

Bloqueado

LoadLibrary retorna NULL

DLL com cert expirado

Bloqueado

Assinatura invalida nao ajuda

DLL + KCD2 (blinder ativo)

Bloqueado

Spooler reinicia, DLL nao carrega

Conclusao: Print Monitor persistence NAO funciona contra CrowdStrike. O bloqueio acontece antes dos callbacks de kernel - provavelmente via driver filter ou validacao interna do csagent.

Advanced New Loader

PoW=2000 - Taxa de Sucesso: 100%

8/8 sistemas compativeis funcionaram. Nenhum AV/EDR alertou ou bloqueou.

Ambiente	SO	EDR	Resultado
PA-1	Server 2019	CrowdStrike	Funcionou, sem alerta (~5 execucoes)
PA-2	Server 2022	Defender	Funcionou, sem alerta
D1	Windows 10	Defender	Funcionou, sem alerta
D4	Server 2019	Defender	Funcionou perfeitamente
D5	Server 2022	Defender	Funcionou, sem alerta
D6	Server 2025	Defender	Funcionou, sem alerta
D3	Server 2008 R2	—	EXE nao roda neste SO
D7	Server 2012 R2	—	EXE nao roda neste SO

Ambiente

EDR

Resultado

PA-1

Server 2019

CrowdStrike

Funcionou, sem alerta (~5 execucoes)

PA-2

Server 2022

Defender

Funcionou, sem alerta

Windows 10

Defender

Funcionou, sem alerta

Server 2019

Defender

Funcionou perfeitamente

Server 2022

Defender

Funcionou, sem alerta

Server 2025

Defender

Funcionou, sem alerta

Server 2008 R2

—

EXE nao roda neste SO

Server 2012 R2

—

EXE nao roda neste SO

Comparativo Geral

Ferramenta	Defender	CrowdStrike	Persistencia
Loader PoW=2000	Invisivel	Invisivel	Nao
KCD2 Blinder	Funciona	Funciona	Nao (memoria)
Print Monitor DLL	Funciona	Bloqueado	Sim (reboot)
Shellter Elite	Invisivel	Detectado	Nao

Ferramenta

Defender

CrowdStrike

Persistencia

Loader PoW=2000

Invisivel

Nao

KCD2 Blinder

Funciona

Nao (memoria)

Print Monitor DLL

Funciona

Bloqueado

Sim (reboot)

Shellter Elite

Invisivel

Detectado

Nao

Fluxo Recomendado para CrowdStrike

1. Acesso Inicial

Loader com PoW >= 2000 (unica forma de entrar sem alerta)

2. Pos-Exploracao

KCD2 para cegar o Falcon e rodar ferramentas bloqueadas

3. Persistencia

Print Monitor NAO funciona. Alternativas em pesquisa.

Nota: O KCD2 precisa ser executado novamente apos cada reboot. Enquanto nao houver persistencia funcional contra CS, o loader precisa ser re-executado manualmente ou via outro mecanismo.