Win7 x64动态开启DSE

最新推荐文章于 2024-08-09 08:28:14 发布
最新推荐文章于 2024-08-09 08:28:14 发布
阅读量5.2k 收藏 3
点赞数
分类专栏: 驱动学习 文章标签: PG DSE 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51055046
版权
本文详细探讨了Windows 7 x64系统中动态开启驱动签名强制执行(DSE)的过程,通过分析内核函数如SeValidateImageHeader和CiValidateImageHeader,发现DSE的判断关键在于全局变量g_CiEnabled和g_CiOptions。通过修改这些变量或其相关函数,可以影响驱动加载时的DSE检查。同时,文章提到了CiInitializePhase2和SepInitializeCodeIntegrity在系统启动时的作用,这两个函数对DSE的开启与否起到决定性作用。
摘要由CSDN通过智能技术生成
本人研究这些东西没有人一起讨论 不支持研究的方向对不对 如果有误还请指出 我的联系方式:ilovexibayaever@gmail.com


加载驱动 返回0xC0000428


IDA搜索立即数0xC0000428 
地址                   Function                           指令                   
----                   --------                           ----                   
.text:00000001400EE0F0 MiResolveTransitionFault           mov     eax, 0C0000428h
.text:00000001400EE10F MiResolveTransitionFault           mov     eax, 0C0000428h
.text:00000001400EE3E3 MiResolveProtoPteFault             mov     eax, 0C0000428h
PAGE:00000001402E89E4  SeValidateImageHeader              mov     eax, 0C0000428h
PAGE:00000001403A5168  SeValidateImageData                mov     eax, 0C0000428h
PAGE:00000001404F6F37  PipCallDriverAddDeviceQueryRoutine cmp     eax, 0C0000428h
PAGE:00000001404F6F8D  PipCallDriverAddDeviceQueryRoutine cmp     ebx, 0C0000428h
PAGE:00000001404F716F  PipCallDriverAddDeviceQueryRoutine cmp     ebx, 0C0000428h


发现有这么几个地方
看SeValidateImageHeader  
[sourcecode language="c"]
int __fastcall SeValidateImageHeader(__int64 a1, __int64 a2, __int64 a3, __int64 a4, __int64 a5)
{
  PVOID v5; // rax@2
  int result; // eax@2


  if ( g_CiEnabled )
  {
    if ( g_CiCallbacks )
      result = g_CiCallbacks(a1, a2, a3, a4);//我们可以去看看它干了什么 这个 其实就是CiValidateImageHeader
    else
      result = 0xC0000428;//这个情况是因为是安全模式
  }
  else
  {
    v5 = ExAllocatePoolWithTag(PagedPool, 1ui64, 0x68506553u);
    *(_QWORD *)a5 = v5;
    result = v5 == 0i64 ? 0xC0000017 : 0;
  }
  return result;
}
[/sourcecode]


很明显一个全局变量在影响这个判断 g_CiEnabled 
看看那个地方在操作g_CiEnabled  发现是SepInitializeCodeIntegrity 
[sourcecode language="c"]
__int64 SepInitializeCodeIntegrity()
{
  signed __int64 v0; // rbx@1
  signed int v1; // edi@2
  __int64 v2; // rax@2
  bool v3; // zf@6


  v0 = 0i64;
  if ( InitIsWinPEMode )
  {
    g_CiEnabled = 0;//如果是安全模式就为0
  }
  else
  {
    g_CiEnabled = 1;
    v1 = 6;
    g_CiCallbacks = 0i64;
    qword_1402256A8 = 0i64;
    qword_1402256B0 = 0i64;
    v2 = *(_QWORD *)&KeLoaderBlock_0;
    if ( *(_QWORD *)&KeLoaderBlock_0 )
    {
      if ( *(_QWORD *)(*(_QWORD *)&KeLoaderBlock_0 + 152i64) )
      {
        if ( SepIsOptionPresent(*(_QWORD *)(*(_QWORD *)&KeLoaderBlock_0 + 152i64), "DISABLE_INTEGRITY_CHECKS") )
          v1 = 0;
        v3 = SepIsOptionPresent(*(_QWORD *)(*(_QWORD *)&KeLoaderBlock_0 + 152i64), "TESTSIGNING") == 0;
        v2 = *(_QWORD *)&KeLoaderBlock_0;
        if ( !v3 )
          v1 |= 8u;
      }
      if ( v2 )
        v0 = v2 + 48;
    }
    LODWORD(v0) = CiInitialize_0((unsigned int)v1, v0, &g_CiCallbacks);
  }
  return (unsigned int)v0;
}
[/sourcecode]


这跟我们研究下面没有太大的关系 因为如果在这里path已经迟了 这个函数在系统启动的时候就运行了 当然如果要静态过DSE的话就在这里path
根据SeValidateImageHeader的反汇编可以看到 只需要对g_CiEnabled就行置0即可
在看看SeValidateImageData  
[sourcecode language="c"]
int SeValidateImageData()
{
  int result; // eax@1


  result = 0;
  if ( g_CiEnabled )
  {
    if ( qword_1402256A8 )
      result = qword_1402256A8();
    else
      result = 0xC0000428;
  }
  return result;
}
[/sourcecode]


这里也做了判断
这个函数其实没多大的作用qword_1402256A8其实就是CiValidateImageData的地址指针可在在windbg中查看 这个函数在ci.dll中
其它出现mov xxx,0xC0000428我在windbg双机调试中没有出现(加载驱动的时候没有断下)
还有一种方法不对g_CiEnabled处理 下面就调用了
result = g_CiCallbacks(a1, a2, a3, a4);
这个就是CiValidateImageHeader 我们去看看 
[sourcecode language="c"]
__int64 __fastcall CiValidateImageHeader(__int64 a1, __int64 a2, unsigned int a3, unsigned int a4, PVOID *a5)
{
  signed int v5; // ebp@1
  unsigned int v6; // er12@1
  __int64 v7; // r14@1
  unsigned int v8; // ebx@1
  __int64 v9; // r13@1
  bool v10; // zf@1
  int v11; // er15@1
  unsigned int v12; // edi@1
  int v13; // eax@2
  int v14; // eax@4
  __int64 v16; // r9@29
  __int64 v17; // r8@29
  __int64 v18; // rdx@29
  __int64 v19; // rcx@29
  int v20; // eax@30
  signed int v21; // eax@43
  __int64 v22; // rdx@46
  int v23; // er11@55
  __int64 v24; // rdx@6
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
WIN64驱动编程教程.rar
04-19
《WIN64驱动编程教程》是一份针对x64架构下驱动程序开发的详细学习资料。这份教程旨在帮助开发者理解并掌握在Windows 64位操作系统环境下编写驱动程序的技术和方法。驱动编程是操作系统核心部分的软件开发,它使得...
【转载】超简单集成HMS ML Kit 人脸检测实现可爱2D贴纸
字节卷动
06-22 885
超简单集成HMS ML Kit 人脸检测实现可爱2D贴纸
RobbinHood:利用Windows驱动程序漏洞关闭杀软的勒索软件
zz_strive_2012的专栏
05-25 770
近期,Sophos安全团队发现了一起新型勒索软件攻击事件,该勒索软件能通过合法且经过数字签名的硬件驱动程序,在恶意文件加密部分执行之前禁用目标计算机中的安全产品。 该驱动程序曾由台湾主板制造商技嘉(Gigabyte)使用(当前已弃用),它具有一个已知的漏洞CVE-2018-19320,利用此漏洞,攻击者能够尝试访问设备并部署第二个驱动程序,进而杀死系统中的杀毒产品。 该漏洞于2018年被发现,技嘉曾否认此漏洞并表示其产品不受影响,后来才决定撤销此驱动程序。但由于用于对驱动程序进行数字签名的Verisig
探索驱动签名强制执行的终结者:DSEFix
最新发布
gitblog_00847的博客
08-09 595
探索驱动签名强制执行的终结者:DSEFix DSEFixWindows x64 Driver Signature Enforcement Overrider项目地址:https://gitcode.com/gh_mirrors/ds/DSEFix 在追求系统安全性的道路上,Windows操作系统一直采取严格的驱动签名政策。然而,在特定场景下,绕过这一限制的需求应运而生——这就是DSEFix登场的...
NTSTATUS状态码 详细解说
08-18 1万+
返回值/代码 描述 0x00000000 状态成功 手术顺利完成。 0x00000000 状态等待_0 调用方为WaitType指定WaitAny,对象数组中的Dispatcher对象之一已设置为已发出信号的状态。 0x00000001 状态等待_1 调用方...
dll 导出函数 下划线_内核中的代码完整性:深入分析ci.dll
weixin_32789583的博客
01-10 375
前言在某些场景中,如果我们希望在允许某个进程进行特定动作前,以一种可靠的方式确认该进程是否可信,那么验证该进程的Authenticode签名是一个不错的方式。用户模式下的DLL wintrust提供了专门用于此目的的API。但是,如果我们需要在内核模式下以一种可靠的方式来进行身份验证,这时应该如何进行呢?在以下的情况中,我们可能会遇到这样的场景:1、应用程序用户模式部分不可用,可能是由于正处于开发...
《操作系统真象还原》第十一章 ---- 实现用户进程 欺骗CPU通彻进程原理 眺望终点到达还需砥砺前行
Love 6's Private Blog
08-01 2021
文章目录相关查阅博客链接本书中错误勘误定义并初始化TSS修改global.h编写tss.c编写tss.h修改init.c修改后的MakeFilemake all 验证成果实现用户进程 相关查阅博客链接 本书中错误勘误 定义并初始化TSS 本书中 和 现代的操作系统Linux都没有采用硬件厂商提供的那种切换进程直接换TSS的操作 因为那样的话代价太大了 这里的话我们先把TSS基本的数据结构 和 用户进程DPL3的GDT符给弄好 因为在之前我记得是弄过了GDT了 只不过那个时候只弄了内核的描述符 而
DSE220x:加州大学圣地亚哥分校
05-12
DSE220x UCSanDiegoX:DSE220x机器学习基础 本课程中的“编程作业”解决方案。
win7 启动动画
02-03
在Windows 7操作系统中,启动动画是用户开机时看到的一系列动态图像,它不仅展示了系统的品牌标识,也是用户体验的一部分。本文将深入探讨如何利用第三方工具——魔方的美化大师来修改Windows 7的启动动画。 首先,...
\win7开机启动动画DIY.
11-26
在Windows 7操作系统中,开机启动动画是用户每次打开计算机时最先看到的视觉元素,它不仅代表了系统的品牌形象,也体现了操作系统的个性化设置。本文将详细介绍如何DIY(Do It Yourself)自定义Windows 7的开机启动...
final-project-DSE200x
04-05
最终项目-DSE200x 这是我的UCSanDiegoX DSE200x“ Python for Data Science”课程的最终项目。 来自Kaggle的电子商务数据集“电子商务客户流失分析和预测”用于探索我们是否可以使用现有客户数据来预测客户是否流失...
绕过PGDSE的代码
04-23
静态过PG 通用补丁过保护和驱动程序签名强制禁用 UPGDSED Universal PatchGuard and Driver Signature Enforcement Disable
windows x64 vista以上系统代码完整性校验分析
Tommy(凌飞)的专栏
04-18 4448
<br /><br /> .text:00000001400E63EE MiResolveTransitionFault           mov     eax, 0C0000428h<br /> .text:00000001400E640D MiResolveTransitionFault           mov     eax, 0C0000428h<br /> .text:00000001400E671C MiResolveProtoPteFault             mov   
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
Windows7系统ci.dll文件丢失问题
amio555的专栏
03-21 499
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个ci.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现ci.dll丢失要怎么解决?
UPGDSED的分析与绕过PGDSE的方式
aihan8042的博客
05-21 1734
大纲: 对UPGDSED源码进行分析,并浅析其绕过PGDSE方式。 小插曲: (1)、要在内核搞事情,就必须加载驱动。加载驱动的道路充满荆棘,先是有杀软的加载驱动拦截,后是有MS的 PGDSE 保护。杀软那一关已经过了,但后面还有PGDSE。 (2)、逐渐深入研究,发现Fyyre和EP_X0FF两位大牛早已经绕过了,并且公布了UPGDSED源码。在这里...
U盘无法安装win10提示Your PC/Device needs to be repaired
weixin_30271335的博客
11-06 4728
前一阵子把笔记本自带的win8升级到8.1,又升级到win10。 差不多有一个月没有开机,前几天开机后进不了系统,出现如下图的提示。买电脑自带的win8是正版的,但升级到win10后就过期了,也真是坑。难道是没有及时更新到正式版?即使没有及时更新也不能就不能开机了啊,毕竟是正版的系统啊。实在是可恶!!! 后来制作了一个win10的iso也启动不了,后来没办法就用U盘制作的w...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值