nifo 项目亮点解析

1. 项目基础介绍

nifo（Nuke It From Orbit）是一个开源项目，旨在帮助用户在没有管理员权限的情况下，通过物理访问移除Windows操作系统中的大多数防病毒/端点检测与响应（AV/EDR）产品。该工具采用直接操作磁盘分区的激进方式，即使是在BitLocker加密的设备上也能发挥作用。nifo的目的是为了提供一个在紧急情况下可以使用的工具，但请注意，使用该工具可能违反法律和条款，因此仅限合法和安全的环境下使用。

2. 项目代码目录及介绍

项目的主要代码目录如下：

• .github/: 存放 GitHub 工作流程文件。
• build.ps1: PowerShell 脚本，用于构建项目。
• go.mod 和 go.sum: Go 语言的依赖管理文件。
• main.go: 主程序文件，包含项目的主要逻辑。
• products.go: 定义支持的AV/EDR产品及其文件路径。
• readme.md: 项目说明文件。
• windows_api.go: 用于操作Windows API的代码。

3. 项目亮点功能拆解

• 物理访问操作: nifo 能够在操作系统之外直接操作磁盘分区，这意味着可以在启动前通过USB或其他介质引导系统来执行操作。
• 无管理员权限: 即使没有管理员权限，nifo 也能通过直接写入磁盘的方式破坏AV/EDR产品文件，使其无法启动。
• 支持多种AV/EDR产品: 目前支持Microsoft Defender，并且可以轻松扩展到其他产品。

4. 项目主要技术亮点拆解

• 直接磁盘写入: 通过定位关键文件所在的物理磁盘扇区，直接覆盖这些扇区的数据，达到破坏文件的目的。
• 跨平台支持: 虽然主要针对Windows系统，但nifo可以通过在Linux环境下运行脚本来操作Windows磁盘。
• 灵活的脚本生成: 提供命令行工具生成用于操作的脚本，支持bash和PowerShell。

5. 与同类项目对比的亮点

• 独特的操作方式: 相较于其他依赖操作系统的工具，nifo采用直接磁盘操作，这使得它能够在更广泛的情况下使用。
• 安全性: nifo 不需要管理员权限，减少了操作的风险。
• 简洁性: 项目代码结构清晰，易于理解和扩展。