Windows PatchGuard学习

最新推荐文章于 2024-04-02 09:44:22 发布
最新推荐文章于 2024-04-02 09:44:22 发布
阅读量3.1k 收藏 5
点赞数 1
分类专栏: 安全编程 windows操作维护 操作系统研发和研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/109249146
版权
本文介绍了PatchGuard作为Windows内核的安全防护机制,防止非法修改内核。同时,讨论了禁止PatchGuard的步骤,涉及BCD(Boot Configuration Data)和PEAUTH服务。PEAUTH是一个内核驱动服务,用于系统认证和授权。禁止后,可通过msconfig恢复。禁止和恢复这些设置可能导致系统不稳定,甚至蓝屏。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开 Win64AST工具,看一下 Rootkit Functions 里面,有些什么功能;rootkit,肯定是些很底层的功能,和安全相关;

看下有一项 禁止PatchGuard;

PatchGuard是什么,禁止了会如何?下面来学习;

1 PatchGuard
PatchGuard是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。

作用是:有效防止内核模式驱动改动

PatchGuard为Windows Vista加入一个新安全操作层;ASLR(Address Space Layout Randomization)亦在这个安全层之下。

PatchGuard能够有效防止内核模式驱动改动或替换Windows内核的任何内容,第三方软件将无法再给Windows Vista内核添加任何“补丁”。

2 禁止PatchGuard
    这是一个内核实验。
    按提示,首先要输入winload.exe和ntoskrnl.exe原来的路径;
    original,原来的;
    第三步是,拷贝文件,创建bcd项,禁止PEAUTH服务;然后即可禁止;

还涉及到BCD和PEAUTH两个概念,下面学习;

3 BCD 和 PEAUTH
BCD
   BCD(Boot Configuration Date)即系统引导配置数据,这是从Windows Vista开始才引入的。在Windows Vista/Server 2008中BootManager组件负责系统的初始化和引导工作,而与之相匹配系统的引导数据就存储在BCD中。

BCD数据管理工具
  最常用也最熟悉的系统引导管理就是系统高级引导菜单了,在Windows 7下也不例外。

PEAUTH服务

    网上查不到资料;只有下面链接有个英文介绍;

http://batcmd.com/windows/7/services/peauth/

PEAUTH - Windows 7 Service
Protected Environment Authentication and Authorization Export Driver by Microsoft Corporation.

This service also exists in Windows 10, 8 and Vista.

Default Properties
Display name:    PEAUTH
Service name:    PEAUTH
Type:    kernel
Path:    %WinDir%\system32\drivers\peauth.sys
Error control:    normal

Default Behavior
The PEAUTH service is a kernel driver. If the PEAUTH fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the PEAUTH service has failed to start.
    从描述来看,此服务是一个内核驱动程序;一个内核驱动程序,配置为Windows服务,显示名称是 PEAUTH;

4 恢复
    禁止之后如何恢复?在 运行 框,输入msconfig;在 引导 tab里面操作,重启;

下回再做此实验;我正在写代码;上次玩这工具已经蓝屏挂了一次;

攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
Win10 PatchGuard静态破解更新
zhuhuibeishadiao
01-12 6391
前段时间有朋友问 http://blog.csdn.net/zhuhuibeishadiao/article/details/54410029 这个开源的还是会蓝屏 具体我没试,下面说下通杀的破解方法 KiFilterFiberContext 下第三个call(没有符号) 内部48 8b c4 ->>b0 1 c3 即头部改 b0 01 mov al,1 c3 retn
64位windows系统的PatchGuard
lionzl的专栏
07-27 2685
作 者: carlcarl 时 间: 2012-03-26,17:35:21 链 接: http://bbs.pediy.com/showthread.php?t=148451 【说明】 1.  本文是意译,加之本人英文水平有限、windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵。 2.  由于内容较多,从word拷贝过来排版就乱了。故你也可以下载附件。 3.  如
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
lzyddf的博客
06-02 3138
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
Windows X64 Patch Guard
zz_strive_2012的专栏
05-25 1124
先简单介绍下PatchGuard ,摘自百度百科 PatchGuard就是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 PatchGuardWindows Vista加入一个新安全操作层,此前我们为您介绍过的ASLR(Address Space Layout Randomization)亦在这个安全层之下。 PatchGuard能够有效防止内核驱动模式改动或替换Windows内核的任何内容,第三方软件将无法再给Wi
探索Windows Patch Guard:PatchGuardResearch项目深度解析
最新发布
gitblog_00080的博客
04-02 525
探索Windows Patch Guard:PatchGuardResearch项目深度解析 去发现同类优质开源项目:https://gitcode.com/ 在网络安全领域,了解操作系统的底层防护机制是至关重要的。Windows Patch Guard就是微软为保护其内核安全而引入的一种反篡改技术。今天,我们将深入研究一个开源项目——PatchGuardResearch,它为我们提供了一个理解...
Windows PatchGuard机制:加强内核安全与安全技术发展
资源摘要信息:"【网络安全精品】范洪康Windows PatchGuard 机制原理与其对安全领域的影响" Windows PatchGuard是微软公司为Windows操作系统设计的一种内核保护机制,其设计初衷是为了防止恶意软件和未授权的驱动...
ByePg在新版Windows系统中有效绕过Patchguard防护
总之,ByePg作为一个绕过Windows Patchguard和HVCI的工具,不仅展示了安全研究的复杂性,也强调了在系统安全领域持续创新和学习的必要性。对于IT专业人士来说,理解ByePg的工作原理及其背后的技术,有助于更好地保护...
最新Windows系统绕过PatchGuard 3的指南
PatchGuard是微软在64位Windows系统中引入的一种安全特性,目的是为了阻止未经授权的修改和访问内核模式下的关键数据结构,如SSDT(系统服务描述表)、GDT(全局描述符表)、IDT(中断描述符表)和MSR(模型特定...
Windows 10 RS4 PatchGuard深度剖析与驱动绕过研究
本文是一篇关于Microsoft Windows 10 RS4(版本1809)上PatchGuard的最新分析。自Windows 64位系统以来,PatchGuard作为Windows安全的关键组成部分,因其防止恶意软件对系统底层进行篡改的能力而备受关注。研究人员...
Windows_PatchGuard_机制原理与其对安全领域的影响.pdf
08-07
目录 概述 ·什么是PATCH GUARD? ·PATCH GUARD 执行流程分析 突破手段 ·各系统版本 - 静态突破 ·各系统版本 - 动态突破 ·利用硬件支持进行攻击 一些想法 ·安全厂商与PATCH GUARD ·关注新机制:HYPER GUARD
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
绕过PatchGuard 3
04-04
本文介绍如何在最新的Windows版本上绕过PatchGuard 3。
cpp-通用PatchGuard和驱动程序签名强制禁用
08-16
通用PatchGuard和驱动程序签名强制禁用,Universal PatchGuard and Driver Signature Enforcement Disable
EasyAntiPatchGuard:Easy Anti PatchGuard
04-16
EasyAntiPatchGuard ##支持系统 = Win8(Win8-Win10 21H4) 如何使用 1.构建EasyAntiPatchGuard.sln 2.加载EasyAntiPatchGuard.sys 细节 众所周知,patchguard执行链: 在pgentry上-> CmpAppendDllSection(解密上下文)-> ExQueueWorkItem-> FsRtlMdlReadCompleteDevEx-> MmAllocateIndependentPages / ExAllocatePoolWithTag->重新加密上下文->插入新上下文-> FreePool / Page当前上下文。 一些pgentry(apc,dpc,..): 00 fffffd0c`0d40d868 fffff802`0a52410d 0xffffc405 `84a020d
EfiGuard实现Windows系统启动时禁用PatchGuard与DSE
标题中提到的"cpp-EfiGuard实现在启动时禁用PatchGuard和DSE"涉及到的几个关键知识点包括C++编程、UEFI引导程序、Windows操作系统的安全机制PatchGuard和驱动程序签名强制执行(Driver Signature Enforcement,简称...
绕过PatchGuard
WorryFree
09-23 1498
初级版 - 绕过PatchGuard
windows10静态禁用patchguard全过程
时空向量的博客
12-06 1366
windows10静态禁用patchguard全过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值