Win64 驱动内核编程-10.突破WIN7的PatchGuard

最新推荐文章于 2025-03-28 04:47:43 发布
原创 最新推荐文章于 2025-03-28 04:47:43 发布 · 3.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #突破WIN7的PatchGuard

突破WIN7PatchGuard

    WIN64 有两个内核保护机制,KPP 和 DSEKPP 阻止我们 PATCH 内核,DSE 拦截我们加载驱动。当然 KPP 和 DSE 并不是不可战胜的,WIN7X64 出来不久,FYYRE 就发布了破解内核的工具,后来有个叫做 Feryno 的人又公开了源代码

    要实现突破 DSE 和 PatchGuard,必须修改两个文件,winload.exe 以及ntoskrnl.exe

细节就不说了,大体思路就是在winload.exe改一个地方,ntoskrnl.exe改两个地方,直接改变代码段的逻辑,把签名校验和一些验证的东西给磨掉了,改完后记得修改PE文件的checksum。这一章节看了两遍,但是并没有打算仔细整理,因为实战作用不大,1是因为要改PE文件;2是还要重启生效,同时生效后所有的签名都随便加载了,实用性不是很大,说道重启,可以弄一个小把戏,现在机器上开启调试模式,然后把自己的安装程序埋伏好,下次重启的时候马上装上驱动,然后在立刻重启一次,但是有个问题没有验证,在调试模式下装的驱动,取消调试模式之后是否可以正常工作,或者就直接用TDL内存里加载64位无签名驱动就行了。

绕过微软内核系统PG_PatchGuardWIN7x64测试通过
追逐光芒,追随内心
10-28 1491
#include "struct.h" ULONG64 GetProcAddress(PSTR funcstr); PVOID sale_hook( IN PVOID hook_addr, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT PDWORD PatchSize); VOID sale_unhook(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSiz.
Updated Analysis of PatchGuard on Microsoft Windows 10 RS4
03-23
Updated Analysis of PatchGuard on Microsoft Windows 10 RS4 Since Windows 64b, PatchGuard has been of great interest in Windows security. For most iterations of its development, several people have analyzed its main mechanisms and internals which, many times, led to a functional bypass. Researchers seem to agree on one thing: bypassing PatchGuard will always be theoretically possible since it runs at the same level as a driver. Which seems true, theoretically. That said, just like vulnerability exploit isn't about NOP-sled anymore, bypassing PatchGuard isn't about hooking KeBugCheck anymore. This paper will present a complete overview of PatchGuard mecanisms, from the initialization to the Blue Screen Of Death, and insights about how we implemented a driver able to disable it. Especially, this research has been conducted using timeless analysis with Tetrane’s tool REVEN. Not a single debugger was used during this entire analysis.
Bypassing PatchGuard on Windows x64
07-31 613
【说明】 1.本文是意译,加之本人英文水平有限、windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵。 2.由于内容较多,从word拷贝过来排版就乱了。故你也可以下载附件。 3.如有不明白的地方,各位雪友可通过附件中的联系方式联系我,同时建议各位参照原文阅读......64windows系统的PatchGuard】 原文:Bypassing P...
Windows PatchGuard学习
bcbobo21cn的专栏
10-23 3277
打开Win64AST工具,看一下 Rootkit Functions 里面,有些什么功能;rootkit,肯定是些很底层的功能,和安全相关; 看下有一项 禁止PatchGuardPatchGuard是什么,禁止了会如何?下面来学习; 1 PatchGuard PatchGuardWindows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 作用是:有效防止内核模式驱动改动 PatchGuardWindows Vis.
Shark:实时关闭Win77600)的PatchGuard〜以后
05-06
鲨鱼 Turn off PatchGuard in real time for win7 (7600) ~ later. 创建实验室 md X:\Labs cd /d X:\Labs git clone https://github.com/9176324/Shark git clone https://github.com/9176324/WinDDK git clone https://github.com/9176324/WRK 建造 Method 1: open "X:\Labs\Shark\Shark.sln" with VisualStudio Method 2: run Build.cmd 安装 run Sea.exe (The driver has no signature, you must mount windbg, or you can sign it) 卸载 res
Win64 驱动内核编程-14.回调监控文件
墨鱼菜鸡
12-18 207
回调监控文件 使用ObRegisterCallbacks实现保护进程,其实稍微PATCH下内核,这个函数还能实现文件操作监视。但可惜只能在WIN7X64上用。因为在WIN7X64上PATCH对象结构的成员(ObjectType->TypeInfo.SupportsObje...
WIN64驱动编程基础教程
12-06
|-编程实现突破WIN7PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动...
全面解析WIN64驱动编程内核级技术
##### 编程实现突破WIN7PatchGuard PatchGuardWindows系统中的一种保护机制,防止恶意软件修改系统核心。要编写能够与PatchGuard共存的驱动,需要深入理解其工作原理并进行特定的编程实现。 ##### 系统服务描述...
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
lzyddf的博客
06-02 3521
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
cpp-通用PatchGuard驱动程序签名强制禁用
08-16
通用PatchGuard驱动程序签名强制禁用,Universal PatchGuard and Driver Signature Enforcement Disable
Windows_PatchGuard_机制原理与其对安全领域的影响.pdf
08-07
目录 概述 ·什么是PATCH GUARD? ·PATCH GUARD 执行流程分析 突破手段 ·各系统版本 - 静态突破 ·各系统版本 - 动态突破 ·利用硬件支持进行攻击 一些想法 ·安全厂商与PATCH GUARD ·关注新机制:HYPER GUARD
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
禁用 WIN7 X64内核保护驱动签名
05-04
以下内容假设你是以管理员权限运行WIN7. ——>>没有UAC提示,没有“以管理员身份运行”提示,或其他类似的提示…<<—— 如何使用: 解压存档的内容到任意位置...按顺序执行: 文件名称 说明: ---------------------------------------------------------------------------------------------- 1.cmd (批处理文件,为你创建一个新的BCD项) 2.exe (字节补丁,使用dUP2...修改复制NTOSKRNL和WINLOAD) 3.cmd (批处理文件,修改后的文件会拷贝到\Windows\System32) checksum.exe (这可以解决PE校验,所以在启动时不会收到0xC0000221的错误。) ---------------------------------------------------------------------------------------------- 按顺序运行1,2,3即可。然后可以安全地删除这些文件。不需要运行checksum.exe,它已经在3.cmd中运行。 重新启动计算机,选择“PatchGuard Disabled v2”启动项来启动系统... 这将允许加载未签名的X64驱动,挂钩NTOSKRNL,进程隐藏,等 如果有任何建议,或者问题?通过论坛与我联系! 如何卸载: ---------------------------------------------------------------------------------------------- 以管理员权限打开CMD.EXE并输入: bcdedit /delete {46595952-454E-4F50-4747-554944FEEEEE} 然后在\Windows\System32\下删除:ntkrnlmp.exe 和 osload.exe ---------------------------------------------------------------------------------------------- 若不想禁用 WIN7 X64内核保护/驱动签名,开机时选择“Windows 7”启动项即可。 永远记住这一点:这个补丁是为逆向工程和64内核模式的探索。 这不是为最终用户…如果你不理解“是什么”或“为什么”——请不要使用它。
重载内核全程分析笔记(附源码)
08-28
重载内核全程分析笔记(附源码) 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱)
fyfy
04-11 2913
Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱) http://www.m5home.com/bbs/thread-5893-1-1.html 此软件的原理是修改内核文件的机器码使得PatchGuard不启动(把原始内核文件复制一份出来才做修改,不是修改原始内核文件),并建立新的内核启动项(新建的内核启动项可以使用msco
windows10静态禁用patchguard全过程
时空向量的博客
12-06 1473
windows10静态禁用patchguard全过程
C++Win764x下做掉PatchGuard教程
kingswb的博客
03-22 9111
C++Win764x下做掉PatchGuard教程 C++于R3层干掉PG.我已经搞定很久了  但是一直也没有发出来.  因为做掉PG还有很多高深的办法,PG也不是那么难过掉的东西.我靠着一些资料埋头研究了半个月之久.成功的在win7 64位下干掉了PG.实现了64SSDT HOOK以及绕驱动签名强制  道理我都懂,没图你说个J8?上图  在开始之前,有几点是必须说的  第
驱动级隐藏驱动 附带关闭PatchGuard功能 兼容w7~w11 64位系统
最新发布
DD90041的博客
03-28 196
驱动级隐藏驱动 附带关闭PatchGuard功能 兼容w7~w11 64位系统
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值