windows10静态禁用patchguard全过程

最新推荐文章于 2025-07-17 12:42:02 发布
原创 最新推荐文章于 2025-07-17 12:42:02 发布 · 1.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

本文档介绍了如何在Windows 10系统中禁用PatchGuard,涉及ntoskrnl.exe、winload.exe和winload.efi的修改,包括找到特定函数并更改其头部代码以绕过安全检查,修正文件校验和,以及执行禁用强制签名参数等步骤。此操作适用于Windows 10 1809及Windows 2019 1809版本。

一  准备

在system32文件夹下找到ntoskrnl.exe, winload.exe, winload.efi三个文件并拷贝到一个空目录,用于临时修改,下面每个文件都要找一个函数的头部进行修改,找函数不难,丢到ida里直接就能找到了.

  ntoskrnl.exe修改

找到内核文件中函数KiFilterFiberContext的头部改成下面2条代码,函数直接返回

b0 01          mov al,1

c3                retn

这样改后,patchguard在引导初始化时就被跳过了

三 winload.exe修改

找到函数OslInitializeCodeIntegrity头部改成如下2条代码,在引导阶段对内核签名校验直接返回1

最低0.47元/天 解锁文章
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
|~~~热爱生活、努力学习的小伙汁~~~|
06-15 1576
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
cpp-通用PatchGuard和驱动程序签名强制禁用
08-16
通用PatchGuard和驱动程序签名强制禁用,Universal PatchGuard and Driver Signature Enforcement Disable
cpp-EfiGuard实现在启动时禁用PatchGuard和DSE
08-16
EfiGuard是一个便携式x64 UEFI bootkit,可在启动时修补Windows启动管理器,启动加载程序和内核,以禁用PatchGuard和驱动程序签名强制执行(DSE)。
引导时禁用PatchGuard和DSE-C/C++开发
05-26
概述EfiGuard是便携式x64 UEFI引导程序包,可在引导时修补Windows引导管理器,引导加载程序和内核,以禁用PatchGuard和驱动程序签名强制(DSE)。 当前功能概述EfiGuard是一种便携式x64 UEFI引导程序包,可在引导时修补Windows引导管理器,引导加载程序和内核,以禁用PatchGuard和驱动程序签名强制(DSE)。 功能目前,支持从Vista SP1到Server 2019的所有EFI兼容版本的Windows x64,均已发布。易于使用:可通过自动查找并引导Windows的加载程序从USB记忆棒或Windows EFI分区启动。 该驱动程序也可以手动加载和配置
Disable PatchGuard - the easy/lazy way
fyfy
11-17 1306
http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=6182&page=1 //Disable PatchGuard - the easy/lazy way. //for Vista SP2 & Windows 7 (X64) // //by Fyyre (thank you Roxaz for helping me to
php密钥dse破解,EfiGuard 实现在启动时禁用PatchGuard和DSE
weixin_30028221的博客
03-10 1407
OverviewEfiGuard is a portable x64 UEFI bootkit that patches the Windows boot manager, boot loader and kernel at boot time in order to disable PatchGuard and Driver Signature Enforcement (DSE).Feature...
Win10 PatchGuard静态破解更新
zhuhuibeishadiao
01-12 6469
前段时间有朋友问 http://blog.youkuaiyun.com/zhuhuibeishadiao/article/details/54410029 这个开源的还是会蓝屏 具体我没试,下面说下通杀的破解方法 KiFilterFiberContext 下第三个call(没有符号) 内部48 8b c4 ->>b0 1 c3 即头部改 b0 01 mov al,1 c3 retn
17、Windows Vista 数据保护功能深度解析
最新发布
s4t5u6v的博客
07-17 93
本文深入解析了Windows Vista的数据保护功能,包括数据清除与加密、微软的安全倡议、PatchGuard内核保护机制、USB设备管理、权限管理服务(RMS)、加密文件系统(EFS)、全磁盘加密(BitLocker)等内容。同时,文章分析了各项功能的操作要点、特点及实际应用场景,并提供了综合应用案例和进一步提升数据保护效果的建议,全面展现了Windows Vista在数据安全领域的强大能力。
PatchGuard禁用程序.zip
08-18
PatchGuard会导致系统蓝屏,但是执行这个程序后,系统的PatchGuard将会被禁用
C++Win764x下做掉PatchGuard教程
kingswb的博客
03-22 9259
C++Win764x下做掉PatchGuard教程 C++于R3层干掉PG.我已经搞定很久了  但是一直也没有发出来.  因为做掉PG还有很多高深的办法,PG也不是那么难过掉的东西.我靠着一些资料埋头研究了半个月之久.成功的在win7 64位下干掉了PG.实现了64SSDT HOOK以及绕驱动签名强制  道理我都懂,没图你说个J8?上图  在开始之前,有几点是必须说的  第
Shark:实时关闭Win7(7600)的PatchGuard〜以后
05-06
鲨鱼 Turn off PatchGuard in real time for win7 (7600) ~ later. 创建实验室 md X:\Labs cd /d X:\Labs git clone https://github.com/9176324/Shark git clone https://github.com/9176324/WinDDK git clone https://github.com/9176324/WRK 建造 Method 1: open "X:\Labs\Shark\Shark.sln" with VisualStudio Method 2: run Build.cmd 安装 run Sea.exe (The driver has no signature, you must mount windbg, or you can sign it) 卸载 res
Updated Analysis of PatchGuard on Microsoft Windows 10 RS4
03-23
Updated Analysis of PatchGuard on Microsoft Windows 10 RS4 Since Windows 64b, PatchGuard has been of great interest in Windows security. For most iterations of its development, several people have analyzed its main mechanisms and internals which, many times, led to a functional bypass. Researchers seem to agree on one thing: bypassing PatchGuard will always be theoretically possible since it runs at the same level as a driver. Which seems true, theoretically. That said, just like vulnerability exploit isn't about NOP-sled anymore, bypassing PatchGuard isn't about hooking KeBugCheck anymore. This paper will present a complete overview of PatchGuard mecanisms, from the initialization to the Blue Screen Of Death, and insights about how we implemented a driver able to disable it. Especially, this research has been conducted using timeless analysis with Tetrane’s tool REVEN. Not a single debugger was used during this entire analysis.
Windows_PatchGuard_机制原理与其对安全领域的影响.pdf
08-07
目录 概述 ·什么是PATCH GUARD? ·PATCH GUARD 执行流程分析 突破手段 ·各系统版本 - 静态突破 ·各系统版本 - 动态突破 ·利用硬件支持进行攻击 一些想法 ·安全厂商与PATCH GUARD ·关注新机制:HYPER GUARD
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
ByePg:在Windows 8,Windows 8.1和Windows 10的所有版本中都普遍击败Patchguard,而不论HVCI
02-06
ByePg:在Windows 8,Windows 8.1和Windows 10的所有版本中都普遍击败Patchguard,而不论HVCI
驱动级隐藏驱动 附带关闭PatchGuard功能 兼容w7~w11 64位系统
DD90041的博客
03-28 294
驱动级隐藏驱动 附带关闭PatchGuard功能 兼容w7~w11 64位系统
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
Windows PatchGuard学习
bcbobo21cn的专栏
10-23 3383
打开Win64AST工具,看一下 Rootkit Functions 里面,有些什么功能;rootkit,肯定是些很底层的功能,和安全相关; 看下有一项 禁止PatchGuardPatchGuard是什么,禁止了会如何?下面来学习; 1 PatchGuard PatchGuardWindows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 作用是:有效防止内核模式驱动改动 PatchGuardWindows Vis.
国外网友制作的“重启关闭PATCHGUARD”工具(支持VISTA~8.1)
zz_strive_2012的专栏
11-14 1432
先说明,原帖来自:http://forum.cheatengine.org/viewtopic.php?p=5532009&sid=090fc6ed4ce733e1d775071934350eda 我在闲逛国外论坛时无意中发现的,虽然说不关闭PG也不碍什么事情,不过某些时候还是觉得破了更爽快。 比如最近玩了某TX游戏后,就连VS也无法使用了。解决方法是修改ObReferenceObje
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时空隧道

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值