patchGuard v2

最新推荐文章于 2024-04-02 09:44:22 发布
最新推荐文章于 2024-04-02 09:44:22 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: rootkit 内核研究 文章标签: hook timer each initialization exception table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7782857
版权
本文详细探讨了patchGuard v2中涉及的DPC钩子技术,内容涵盖60多页,旨在深入理解PG3,并通过调试实践来加强理论知识。
摘要由CSDN通过智能技术生成
算是对http://www.uninformed.org/?v=6&a=1&t=sumry 的一个中文摘要,理解还不一定全对


PG2一些改动:


cmp cs:KdDebuggerNotPresent, r12b
jnz short continue_initialization_1
infinite_loop_1:
jmp short infinite_loop_1
sti


更改KdDebuggerNotPresent比较容易,索性直接死循环掉


dr7清零






初始化完毕之后会把这些初始化代码清零


此外不变的是对于自己的数据还是使用了随即内存大小、pool tag,随即密钥等等加密。利用DPC来触发异常,不过可供选择的DPC增加到了十个。




方法一


1.patch guard2也是利用DPC执行一次检查,这些DPC routine都是正常dpc历程,但是传入的DPC context并不是一个有效指针。


所以会转到异常处理_C_specific_handler,patchguard检测函数将在这个异常里无限循环检测patch


bypass的话就可以hook _C_specific_handler这个导出函数


hook之后怎么正常返回到dpc routine的调用位置继续执行是个问题


x86的话会比较麻烦,利用X64的seh表是轻而易举的,调用RtlVirtualUnwind即可


2.这个hook只执行一次,定时器只触发一次,然后就走到异常处理之后无限循环检查


3.接下来的问题是如何过滤异常时有patchguard故意抛出的


内核代码经常会probe一些地址,这有可能引发常规的access violation,但一般probe的都是环3地址,PatchGuard则例外


PG则是引用了non-canonical addresses,处理器抛出这个异常的时候他的exception handler总是-1。


一些写的不规范的驱动可能也会出发这个异常,作者认为可以无视,我想判断也很容易吧,反正有上下文。


方法二


修改所有可能用到的DPC的异常处理注册函数


这需要定位是哪些DPC


DPC该有如下特征


1. Each DPC routine has one exception/unwind-marked registration
最低0.47元/天 解锁文章
Shevacoming
关注
专栏目录
【QNX+Android虚拟化方案】06 - XBL Loader 阶段 sbl1_main_ctl 函数代码分析
|~~~热爱生活、努力学习的小伙汁~~~|
08-20 638
【QNX+Android虚拟化方案】06 - XBL Loader 阶段 sbl1_main_ctl 函数代码分析
OpenShift — 部署 OKD 4.5
烟云的计算
01-01 4745
目录 文章目录目录文档资料服务器环境前期准备部署 Bastion Node基础配置安装 OpenShift CLI安装 openshift-install安装 ETCD安装 CoreDNS安装 HAProxy安装 Registry安装 Nginx准备 OpenShift Nodes 部署所需的配置文件部署 Bootstrap Node部署 Master Node部署 Worker NodeTroubleshootingWorker Node 镜像认证不通过 文档资料 官方文档:https://docs.
cpp-通用PatchGuard和驱动程序签名强制禁用
08-16
通用PatchGuard和驱动程序签名强制禁用,Universal PatchGuard and Driver Signature Enforcement Disable
禁用 WIN7 X64内核保护驱动签名
05-04
以下内容假设你是以管理员权限运行WIN7. ——>>没有UAC提示,没有“以管理员身份运行”提示,或其他类似的提示…<<—— 如何使用: 解压存档的内容到任意位置...按顺序执行: 文件名称 说明: ---------------------------------------------------------------------------------------------- 1.cmd (批处理文件,为你创建一个新的BCD项) 2.exe (字节补丁,使用dUP2...修改复制NTOSKRNL和WINLOAD) 3.cmd (批处理文件,修改后的文件会拷贝到\Windows\System32) checksum.exe (这可以解决PE校验,所以在启动时不会收到0xC0000221的错误。) ---------------------------------------------------------------------------------------------- 按顺序运行1,2,3即可。然后可以安全地删除这些文件。不需要运行checksum.exe,它已经在3.cmd中运行。 重新启动计算机,选择“PatchGuard Disabled v2”启动项来启动系统... 这将允许加载未签名的X64位驱动,挂钩NTOSKRNL,进程隐藏,等 如果有任何建议,或者问题?通过论坛与我联系! 如何卸载: ---------------------------------------------------------------------------------------------- 以管理员权限打开CMD.EXE并输入: bcdedit /delete {46595952-454E-4F50-4747-554944FEEEEE} 然后在\Windows\System32\下删除:ntkrnlmp.exe 和 osload.exe ---------------------------------------------------------------------------------------------- 若不想禁用 WIN7 X64内核保护/驱动签名,开机时选择“Windows 7”启动项即可。 永远记住这一点:这个补丁是为逆向工程和64位内核模式的探索。 这不是为最终用户…如果你不理解“是什么”或“为什么”——请不要使用它。
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
64位windows系统的PatchGuard
lionzl的专栏
07-27 2537
作 者: carlcarl 时 间: 2012-03-26,17:35:21 链 接: http://bbs.pediy.com/showthread.php?t=148451 【说明】 1.  本文是意译,加之本人英文水平有限、windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵。 2.  由于内容较多,从word拷贝过来排版就乱了。故你也可以下载附件。 3.  如
x64 patchGuard v1
Returns' Station
07-24 2732
PG1使用了一系列加密手段,隐藏自己,核心手段是向三个正常的DPC传入非法DpcContext地址引发异常处理,在异常处理中执行patch扫描 保护范围:nt,kidebugroutine,ssdt,gdt idt msr 解决方法一:修改pe头部的UnwindData,以改变这三个DPC的异常处理handler  也就是X64的SEH hook。这三个dpc存在于一张表中,搜
Windows PatchGuard学习
bcbobo21cn的专栏
10-23 2785
打开Win64AST工具,看一下 Rootkit Functions 里面,有些什么功能;rootkit,肯定是些很底层的功能,和安全相关; 看下有一项 禁止PatchGuardPatchGuard是什么,禁止了会如何?下面来学习; 1 PatchGuard PatchGuard是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 作用是:有效防止内核模式驱动改动 PatchGuard为Windows Vis.
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
qq_41988448的博客
06-02 2188
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
ByePg:在Windows 8,Windows 8.1和Windows 10的所有版本中都普遍击败Patchguard,而不论HVCI
02-06
ByePg:在Windows 8,Windows 8.1和Windows 10的所有版本中都普遍击败Patchguard,而不论HVCI
【webrtc】Windows平台WebRTC编译-VS2022 - 官方m98分支
突围
03-05 1481
参考之前的dep_tools记录 一些webrtc的网站 native-code 官方构建指南 启用代理很关键,windows用set linux是export 过程 先安装dep_tools Microsoft Windows [版本 10.0.22000.493] (c) Microsoft Corporation。保留所有权利。 C:\Users\zhangbin>gclient fatal: unable to access 'https://chromium.goo..
绕过PatchGuard
WorryFree
09-23 1163
初级版 - 绕过PatchGuard
C++Win764x下做掉PatchGuard教程
kingswb的博客
03-22 8718
C++Win764x下做掉PatchGuard教程 C++于R3层干掉PG.我已经搞定很久了  但是一直也没有发出来.  因为做掉PG还有很多高深的办法,PG也不是那么难过掉的东西.我靠着一些资料埋头研究了半个月之久.成功的在win7 64位下干掉了PG.实现了64SSDT HOOK以及绕驱动签名强制  道理我都懂,没图你说个J8?上图  在开始之前,有几点是必须说的  第
探索Windows Patch GuardPatchGuardResearch项目深度解析
最新发布
gitblog_00080的博客
04-02 423
探索Windows Patch GuardPatchGuardResearch项目深度解析 项目地址:https://gitcode.com/zhuhuibeishadiao/PatchGuardResearch 在网络安全领域,了解操作系统的底层防护机制是至关重要的。Windows Patch Guard就是微软为保护其内核安全而引入的一种反篡改技术。今天,我们将深入研究一个开源项目——Pa...
Win64 驱动内核编程-10.突破WIN7的PatchGuard
墨鱼菜鸡
12-18 287
突破WIN7的PatchGuard WIN64有两个内核保护机制,KPP和DSE。KPP阻止我们PATCH内核,DSE拦截我们加载驱动。当然KPP和DSE并不是不可战胜的,WIN7X64出来不久,FYYRE就发布了破解内核的工具,后来有个叫做Feryno的人又公开了源...
Win10 PatchGuard静态破解更新
zhuhuibeishadiao
01-12 6199
前段时间有朋友问 http://blog.csdn.net/zhuhuibeishadiao/article/details/54410029 这个开源的还是会蓝屏 具体我没试,下面说下通杀的破解方法 KiFilterFiberContext 下第三个call(没有符号) 内部48 8b c4 ->>b0 1 c3 即头部改 b0 01 mov al,1 c3 retn
国外网友制作的“重启关闭PATCHGUARD”工具(支持VISTA~8.1)
zz_strive_2012的专栏
11-14 1270
先说明,原帖来自:http://forum.cheatengine.org/viewtopic.php?p=5532009&sid=090fc6ed4ce733e1d775071934350eda 我在闲逛国外论坛时无意中发现的,虽然说不关闭PG也不碍什么事情,不过某些时候还是觉得破了更爽快。 比如最近玩了某TX游戏后,就连VS也无法使用了。解决方法是修改ObReferenceObje
spss19 patch v2软件
01-02
SPSS 19 Patch v2是用于IBM SPSS Statistics 19版本的更新补丁软件。补丁v2旨在修复原始版本中发现的错误和漏洞,并提供更稳定和可靠的功能。 这个补丁的主要目的是提高SPSS统计软件的性能并改进用户体验。它可能包括的修复方面包括:修正软件中的错误、改进软件的技术性能、增加新功能等。 SPSS 19 Patch v2的安装步骤相对简单,用户只需按照提示一步一步进行,即可完成。安装完成后,用户可以在使用SPSS软件时享受更新的功能和改进的稳定性。使用补丁v2后,用户可能会发现软件运行更顺畅,并且遇到的问题和错误更少。 此外,SPSS 19 Patch v2还可以提高数据分析的准确性和效率。它可能包括修复统计过程中的漏洞,并提供更可靠的结果。这对于进行科学研究、统计分析以及制定决策等任务非常重要。 总之,SPSS 19 Patch v2是为了提高SPSS Statistics 19软件的性能和可靠性而设计的更新补丁。安装它可以帮助用户更顺畅地使用软件,并提高数据分析的准确性和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值