Win64 驱动内核编程-10.突破WIN7的PatchGuard

最新推荐文章于 2021-10-28 10:02:56 发布
最新推荐文章于 2021-10-28 10:02:56 发布
阅读量3.3k 收藏 4
点赞数 1
分类专栏: 驱动内核编程 文章标签: 驱动 突破WIN7的PatchGuard
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/60893504
版权

突破WIN7PatchGuard

    WIN64 有两个内核保护机制,KPP 和 DSEKPP 阻止我们 PATCH 内核,DSE 拦截我们加载驱动。当然 KPP 和 DSE 并不是不可战胜的,WIN7X64 出来不久,FYYRE 就发布了破解内核的工具,后来有个叫做 Feryno 的人又公开了源代码

    要实现突破 DSE 和 PatchGuard,必须修改两个文件,winload.exe 以及ntoskrnl.exe

细节就不说了,大体思路就是在winload.exe改一个地方,ntoskrnl.exe改两个地方,直接改变代码段的逻辑,把签名校验和一些验证的东西给磨掉了,改完后记得修改PE文件的checksum。这一章节看了两遍,但是并没有打算仔细整理,因为实战作用不大,1是因为要改PE文件;2是还要重启生效,同时生效后所有的签名都随便加载了,实用性不是很大,说道重启,可以弄一个小把戏,现在机器上开启调试模式,然后把自己的安装程序埋伏好,下次重启的时候马上装上驱动,然后在立刻重启一次,但是有个问题没有验证,在调试模式下装的驱动,取消调试模式之后是否可以正常工作,或者就直接用TDL内存里加载64位无签名驱动就行了。

TK13
关注
专栏目录
Shark:实时关闭Win7(7600)的PatchGuard〜以后
05-06
鲨鱼 Turn off PatchGuard in real time for win7 (7600) ~ later. 创建实验室 md X:\Labs cd /d X:\Labs git clone https://github.com/9176324/Shark git clone https://github.com/9176324/WinDDK git clone https://github.com/9176324/WRK 建造 Method 1: open "X:\Labs\Shark\Shark.sln" with VisualStudio Method 2: run Build.cmd 安装 run Sea.exe (The driver has no signature, you must mount windbg, or you can sign it) 卸载 res
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
C++Win764x下做掉PatchGuard教程
kingswb的博客
03-22 8723
C++Win764x下做掉PatchGuard教程 C++于R3层干掉PG.我已经搞定很久了  但是一直也没有发出来.  因为做掉PG还有很多高深的办法,PG也不是那么难过掉的东西.我靠着一些资料埋头研究了半个月之久.成功的在win7 64位下干掉了PG.实现了64SSDT HOOK以及绕驱动签名强制  道理我都懂,没图你说个J8?上图  在开始之前,有几点是必须说的  第
绕过微软内核系统PG_PatchGuardWIN7x64测试通过
追逐光芒,追随内心
10-28 1294
#include "struct.h" ULONG64 GetProcAddress(PSTR funcstr); PVOID sale_hook( IN PVOID hook_addr, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT PDWORD PatchSize); VOID sale_unhook(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSiz.
Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱)
fyfy
04-11 2788
Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱) http://www.m5home.com/bbs/thread-5893-1-1.html 此软件的原理是修改内核文件的机器码使得PatchGuard不启动(把原始内核文件复制一份出来才做修改,不是修改原始内核文件),并建立新的内核启动项(新建的内核启动项可以使用msco
virtio-win-0.1.190-1.rar
05-18
virtio-win-0.1.190-1.rar 是一个针对KVM(Kernel-based Virtual Machine)虚拟化技术的驱动程序包,适用于Windows操作系统。这个压缩包中的主要组件是 virtio-win-0.1.190-1.iso 文件,这是一张ISO镜像文件,通常...
linux内核4.19.12-1.el7升级包
最新发布
05-25
而`kernel-ml-devel-4.19.12-1.el7.elrepo.x86_64`则是开发包,包含了头文件和开发工具,供开发者编译与内核相关的模块或驱动程序。 在升级Linux内核时,你需要遵循以下步骤: 1. **备份**:在进行任何重大系统...
win7win10-STLINK-V2.zip
08-10
这个压缩包"win7win10-STLINK-V2.zip"包含了适用于Windows操作系统的ST-LINK驱动程序,特别是针对Win7Win10Win8以及Win_XP系统。ST-LINK驱动允许用户通过USB接口连接到开发板,对STM32芯片进行编程、调试和验证...
api-ms-win-core-path-l1-1-0.dll.zip
01-27
标签 "api-ms-win core-path l1-1-0.dll" 进一步强调了文件的关键特性,即与路径处理相关的API,并且是Windows内核的核心部分。 在压缩包中的文件 "api_ms_win_core_path_l1_1_0dll" 应该就是实际的DLL文件,用于...
10.10.5 hp破解内核
12-13
用于解决因特尔四代处理器变色龙安装时候无限重启问题 建议先替换安装盘的System\Library\Kernels内核文件,之后再替换系统盘System\Library\Kernels的内核文件
cpp-通用PatchGuard驱动程序签名强制禁用
08-16
通用PatchGuard驱动程序签名强制禁用,Universal PatchGuard and Driver Signature Enforcement Disable
破解内核amd
07-28
最新amd内核mac 最低可支持 x2 240
AMD破解内核
01-13
MAC必用内核
win7x64动态过PG源码.rar
01-12
请编译后用虚拟机测试,不然出现蓝屏或系统损坏本人不负任何责任哦,请君想好再下载,切记切记!!!请编译后用虚拟机测试,不然出现蓝屏或系统损坏本人不负任何责任哦,请君想好再下载,切记切记!!!请编译后用虚拟机测试,不然出现蓝屏或系统损坏本人不负任何责任哦,请君想好再下载,切记切记!!!
[内核安全7]x64过ARK及PatchGuard驱动级Rootkit
輚至消亡
07-13 1670
主要是还是利用MiProcessLoaderEntry。 该方法的优点: 1. 过PatchGuard不会蓝屏 2. ARK工具无法识别 该方法缺点: 1. 获取地址比较复杂繁琐 2. 驱动不能进行常规卸载 一般情况下对MiProcessLoaderEntry进行摘链操作只能过掉用户遍历DriverSection的InLoadOrderList链表进行枚举驱动。但是ARK工具还是会检测出对应驱动。要想让ARK工具检测不出来,只需要摘链后把对应驱动对象内所有内容清零即可。 ...
关于Win7 x64下过TP保护(内核层)(转)
weixin_30819085的博客
07-21 638
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X64...
64windows系统的PatchGuard
lionzl的专栏
07-27 2541
作 者: carlcarl 时 间: 2012-03-26,17:35:21 链 接: http://bbs.pediy.com/showthread.php?t=148451 【说明】 1.  本文是意译,加之本人英文水平有限、windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵。 2.  由于内容较多,从word拷贝过来排版就乱了。故你也可以下载附件。 3.  如
Win64驱动内核编程环境搭建与调试指南
"天使也掉毛 Win64 驱动内核编程" 是一本关于64Windows驱动程序开发的教程资源,由作者“天使也掉毛”在CSDN博客上分享。这本书或教程主要涵盖了驱动开发的基础到进阶内容,特别是针对Win64平台的内核编程技术。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值