一 准备
在system32文件夹下找到ntoskrnl.exe, winload.exe, winload.efi三个文件并拷贝到一个空目录,用于临时修改,下面每个文件都要找一个函数的头部进行修改,找函数不难,丢到ida里直接就能找到了.
二 ntoskrnl.exe修改
找到内核文件中函数KiFilterFiberContext的头部改成下面2条代码,函数直接返回
b0 01 mov al,1
c3 retn
这样改后,patchguard在引导初始化时就被跳过了
三 winload.exe修改
找到函数OslInitializeCodeIntegrity头部改成如下2条代码,在引导阶段对内核签名校验直接返回1
b0 01 mov al,1
c3