patchguard v3

最新推荐文章于 2024-05-31 09:33:42 发布
最新推荐文章于 2024-05-31 09:33:42 发布
阅读量4.7k 收藏 3
点赞数
分类专栏: 内核研究 文章标签: exception patch byte hook extension 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7787191
版权
本文深入探讨了Windows PatchGuard v3的机制改进,包括异常处理的随机化、SEH-less模式、DPC调用栈混淆等,并介绍了多种对抗PG3的策略,如SEH拦截、内存搜索、DPC调度器hook等。
摘要由CSDN通过智能技术生成

纯理论的看完了三篇PG的文章,还没看代码,还没入手调试.第三代是vista的版本


win7 sp1的PG肯定跟uniformed的文章不一样了。回头再研究了。反正到win7的时候貌似已经没有人写一大堆文档在内核里对抗pg了,直接给nt打patch了= =


对于x64也是刚接触没几天,资料也不是很系统,还需要进一步学习。


原文见http://uninformed.org/?v=8&a=5&t=sumry


这个也可以参考 http://www.codeproject.com/Articles/28318/Bypassing-PatchGuard-3


PG3 


机制改进


1.有多条线路在系统启动是开启,有时有一条,有时两条或多条



2.PG的dpc异常不再直接由_C_specific_handler处理,而是一段汇编代码随机化了异常地址,异常状态码等内容,然后调用_C_specific_handler,不再让你轻松过滤。

;
; EXCEPTION_DISPOSITION
; KiCustomAccessHandler8 (
; /* rcx */ IN PEXCEPTION_RECORD ExceptionRecord,
; /* rdx */ IN ULONG64 EstablisherFrame,
; /* r8 */ IN OUT PCONTEXT ContextRecord,
; /* r9 */ IN OUT struct _DISPATCHER_CONTEXT* DispatcherContext
; );
KiCustomAccessHandler8 proc near
test [rcx+_EXCEPTION_RECORD.ExceptionFlags], 66h
loc_14009B4C7:
jnz short retpoint
rdtsc
; Randomize ExceptionInformation[ 1 ]
; ( This is the "referenced address" for
; an access violation exception.)
;
; ( Note that rax is not set to any<

最低0.47元/天 解锁文章
Shevacoming
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
patchGuard v2
Returns' Station
07-25 3283
算是对http://www.uninformed.org/?v=6&a=1&t=sumry 的一个中文摘要,理解还不一定全对 PG2一些改动: cmp cs:KdDebuggerNotPresent, r12b jnz short continue_initialization_1 infinite_loop_1: jmp short infinite_loop_1 s
Win10下的_EPROCESS结构记录
WorryFree
11-30 2148
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
32、python多进程编程代码演示
zhaopeng01zp的博客
10-27 359
print("Test Process") # 导入进程模块 from multiprocessing import Process import time, os # 创建进程 进程入口函数 进程参数(是个元组类型) def proc_func(name): print("proc_func") for j in range(10): # 打印进程号 print(j, "child func", name, os.getpid()) tim
探索Windows世界的隐秘之门 —— PatchGuard Bypass项目解析与推荐
gitblog_00080的博客
05-31 257
探索Windows世界的隐秘之门 —— PatchGuard Bypass项目解析与推荐 项目地址:https://gitcode.com/AdamOron/PatchGuardBypass 项目介绍 在安全与隐私日益被重视的今天,Windows系统的内核防护机制——PatchGuard,扮演着守护者的重要角色。然而,对于那些热衷于系统底层探索和安全性研究的技术爱好者来说,绕过这道坚不可摧的防线无...
x64枚举DPC定时器
07-31 397
@写在前面 不同于x86,x64的DPC是被加密了的。对于x64DPC的兴趣始于我已经流产的scalpel计划。当时问某牛怎么遍历,得到的答案是“500大洋给代码”。真是R了狗了,好歹小哥我也是搞技术的,自己搞吧。 PS:这个代码编辑功能。。。醉的不行了。 @前言 在早期的x86系统上面,DPCTimer都是裸奔的,直接用过已导出的KiTimerTa...
绕过PatchGuard
WorryFree
09-23 1040
初级版 - 绕过PatchGuard
PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3
05-18 2333
PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3September, 2007Skywing skywing@valhallalegends.comhttp://www.nynaeve.net/ Abstract: Since the publication of previous by
PatchGuard禁用程序.zip
08-18
PatchGuard是微软Windows内核的一项安全特性,主要在64位版本的Windows操作系统中启用,旨在保护内核免受恶意代码篡改。它通过监视关键系统区域的修改来防止rootkit和其他恶意软件隐藏自身。然而,对于一些系统管理...
绕过PatchGuard 3
04-04
PatchGuard是微软在Windows内核中引入的一种安全机制,主要用于防止对系统核心组件的非法篡改,特别是针对64位Windows系统。它在Win2003、WinXP、Win64和Win32等平台上运行,以保护操作系统免受恶意软件和黑客攻击。...
Bypassing_PatchGuard_on_Windows_x64.rar_GuardPassing_PatchGuard_
07-13
This document show you how to bypass Windows Vista patch guard
EasyAntiPatchGuard:Easy Anti PatchGuard
04-16
EasyAntiPatchGuard ##支持系统 = Win8(Win8-Win10 21H4) 如何使用 1.构建EasyAntiPatchGuard.sln 2.加载EasyAntiPatchGuard.sys 细节 众所周知,patchguard执行链: 在pgentry上-> CmpAppendDllSection(解密上下文)-> ExQueueWorkItem-> FsRtlMdlReadCompleteDevEx-> MmAllocateIndependentPages / ExAllocatePoolWithTag->重新加密上下文->插入新上下文-> FreePool / Page当前上下文。 一些pgentry(apc,dpc,..): 00 fffffd0c`0d40d868 fffff802`0a52410d 0xffffc405 `84a020d
Shark:实时关闭Win7(7600)的PatchGuard〜以后
05-06
鲨鱼Turn off PatchGuard in real time for win7 (7600) ~ later.创建实验室md X:\Labscd /d X:\Labsgit clone ...
Windows_PatchGuard_机制原理与其对安全领域的影响.pdf
08-07
·什么是PATCH GUARD? ·PATCH GUARD 执行流程分析 突破手段 ·各系统版本 - 静态突破 ·各系统版本 - 动态突破 ·利用硬件支持进行攻击 一些想法 ·安全厂商与PATCH GUARD ·关注新机制:HYPER GUARD
Bypassing PatchGuard 3
weixin_34132768的博客
08-20 1077
2019独角兽企业重金招聘Python工程师标准>>> ...
PatchGuard Disabled V3
weixin_30606669的博客
06-17 291
https://twitter.com/Fyyre http://www.m5home.com/bbs/thread-5893-1-1.html http://pan.baidu.com/share/home?uk=1915097229#category/type=0 转载于:https://www.cnblogs.com/zengkefu/p/7041332.html
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
qq_41988448的博客
06-02 1930
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
SEH X64(3)
商少
05-27 2042
接下来看__C_specific_handler函数中出现的函数。首先是RtlUnwindEx函数。在异常操作中,当找到了愿意处理当前异常的ExceptionHandler 之后就会以此为参数调用RtlUnwindEx 函数,根据X86 学到的知识,RtlUnwindEx 在执行ExceptionHandler之前应该执行展开操作,清理资源,然后再执行ExceptionHandler。 函数原型
Windows X64 Patch Guard
zz_strive_2012的专栏
05-25 839
先简单介绍下PatchGuard ,摘自百度百科 PatchGuard就是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 PatchGuard为Windows Vista加入一个新安全操作层,此前我们为您介绍过的ASLR(Address Space Layout Randomization)亦在这个安全层之下。 PatchGuard能够有效防止内核驱动模式改动或替换Windows内核的任何内容,第三方软件将无法再给Wi
git patch
最新发布
06-05
Git patch是一种将不同代码版本之间的差异转化为文本文件的方法。通过使用patch,您可以将您的更改发送给其他人,让他们可以在其本地仓库中应用这些更改。在Git中,可以使用“git diff”命令来生成patch,也可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值