本文档介绍了如何在Windows 10系统中禁用PatchGuard,涉及ntoskrnl.exe、winload.exe和winload.efi的修改,包括找到特定函数并更改其头部代码以绕过安全检查,修正文件校验和,以及执行禁用强制签名参数等步骤。此操作适用于Windows 10 1809及Windows 2019 1809版本。
一 准备
在system32文件夹下找到ntoskrnl.exe, winload.exe, winload.efi三个文件并拷贝到一个空目录,用于临时修改,下面每个文件都要找一个函数的头部进行修改,找函数不难,丢到ida里直接就能找到了.
二 ntoskrnl.exe修改
找到内核文件中函数KiFilterFiberContext的头部改成下面2条代码,函数直接返回
b0 01 mov al,1
c3 retn
这样改后,patchguard在引导初始化时就被跳过了
三 winload.exe修改
找到函数OslInitializeCodeIntegrity头部改成如下2条代码,在引导阶段对内核签名校验直接返回1
b0 01 mov al,1
c3
最低0.47元/天 解锁文章
扫一扫
1004
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
