《PatchWerk 安装与配置指南》

《PatchWerk 安装与配置指南》

patchwerk BOF that finds all the Nt* system call stubs within NTDLL and overwrites with clean syscall stubs (user land hook evasion) 项目地址: https://gitcode.com/gh_mirrors/pat/patchwerk

1. 项目基础介绍

PatchWerk 是一个旨在清理 NTDLL 系统调用存根的开源项目。它通过覆盖内存中的存根来实现用户态钩子逃避，使得在植入代码中使用 NTAPI 成为可能。项目基于一个概念验证（PoC），目的是在不打开 ntdll.dll 文件句柄的情况下修补系统调用。

主要编程语言：C

2. 项目使用的关键技术和框架

• C 语言编程：用于编写核心的逻辑和直接与操作系统交互的底层代码。
• 汇编语言：用于实现特定的功能，例如自定义的 GetModuleHandle 和 GetProcAddress 函数，以逃避内核态钩子。
• 系统调用（NTAPI）：直接调用操作系统内核的功能，本项目主要使用了 NtOpenProcess、NtWriteVirtualMemory 和 NtProtectVirtualMemory 等系统调用。

3. 项目安装和配置准备工作

在开始安装之前，请确保您的系统满足以下要求：

• 操作系统：Windows（因为该项目与 Windows 内核API密切相关）
• 开发环境：建议安装 Visual Studio 或其他支持 C 语言开发的IDE
• 依赖库：确保系统中已安装所需的依赖库

安装步骤

1. 克隆项目仓库到本地：

   打开命令提示符或终端，输入以下命令：

   git clone https://github.com/boku7/patchwerk.git
   

2. 导入项目到IDE中：

   打开 Visual Studio 或其他IDE，选择导入现有项目，找到下载的 patchwerk 文件夹，选择 patchwerk.c 文件，并按照向导完成项目导入。

3. 配置项目：

   在IDE中配置项目，确保包含必要的头文件路径和库文件路径。

4. 编译项目：

   使用IDE的编译功能编译项目。如果遇到编译错误，请根据错误信息进行调试。

5. 运行项目：

   编译成功后，运行生成的可执行文件。根据项目 README.md 中的说明，使用以下命令运行：

   beacon> patchwerk [PID]
   

   其中 [PID] 是你想要修补的进程的进程ID。如果不指定进程ID，程序将修补当前进程。

请注意，由于该项目的特殊性质，运行过程中可能会对系统稳定性产生影响，请在理解项目功能和潜在风险后谨慎操作。

patchwerk BOF that finds all the Nt* system call stubs within NTDLL and overwrites with clean syscall stubs (user land hook evasion) 项目地址: https://gitcode.com/gh_mirrors/pat/patchwerk