windows10静态禁用patchguard全过程

最新推荐文章于 2024-05-31 09:33:42 发布
最新推荐文章于 2024-05-31 09:33:42 发布
阅读量930 收藏 3
点赞数 1
分类专栏: windows10 内核 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x_nh/article/details/128211512
版权

一  准备

在system32文件夹下找到ntoskrnl.exe, winload.exe, winload.efi三个文件并拷贝到一个空目录,用于临时修改,下面每个文件都要找一个函数的头部进行修改,找函数不难,丢到ida里直接就能找到了.

  ntoskrnl.exe修改

找到内核文件中函数KiFilterFiberContext的头部改成下面2条代码,函数直接返回

b0 01          mov al,1

c3                retn

这样改后,patchguard在引导初始化时就被跳过了

三 winload.exe修改

找到函数OslInitializeCodeIntegrity头部改成如下2条代码,在引导阶段对内核签名校验直接返回1

b0 01           mov al,1

c3              

最低0.47元/天 解锁文章
时空隧道
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Win10 PatchGuard静态破解更新
zhuhuibeishadiao
01-12 6143
前段时间有朋友问 http://blog.csdn.net/zhuhuibeishadiao/article/details/54410029 这个开源的还是会蓝屏 具体我没试,下面说下通杀的破解方法 KiFilterFiberContext 下第三个call(没有符号) 内部48 8b c4 ->>b0 1 c3 即头部改 b0 01 mov al,1 c3 retn
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
攻破 PatchGuard
01-14
攻破 PatchGuard mcafee
探索Windows世界的隐秘之门 —— PatchGuard Bypass项目解析与推荐
最新发布
gitblog_00080的博客
05-31 264
探索Windows世界的隐秘之门 —— PatchGuard Bypass项目解析与推荐 项目地址:https://gitcode.com/AdamOron/PatchGuardBypass 项目介绍 在安全与隐私日益被重视的今天,Windows系统的内核防护机制——PatchGuard,扮演着守护者的重要角色。然而,对于那些热衷于系统底层探索和安全性研究的技术爱好者来说,绕过这道坚不可摧的防线无...
Shark:实时关闭Win7(7600)的PatchGuard〜以后
05-06
鲨鱼 Turn off PatchGuard in real time for win7 (7600) ~ later. 创建实验室 md X:\Labs cd /d X:\Labs git clone https://github.com/9176324/Shark git clone https://github.com/9176324/WinDDK git clone https://github.com/9176324/WRK 建造 Method 1: open "X:\Labs\Shark\Shark.sln" with VisualStudio Method 2: run Build.cmd 安装 run Sea.exe (The driver has no signature, you must mount windbg, or you can sign it) 卸载 res
windows 平台相关的资料(开发/逆向/漏洞等方向)
pureman_mega的博客
01-20 714
dll编写相关:链接:https://www.cnblogs.com/talenth/p/9585208.html dll劫持:链接:https://www.cnblogs.com/wayuzhi/p/4152516.html dll相关:链接:http://www.voidcn.com/article/p-pohgxapy-su.html com编程相关:链接:https://blog.c............
C++Win764x下做掉PatchGuard教程
kingswb的博客
03-22 8541
C++Win764x下做掉PatchGuard教程 C++于R3层干掉PG.我已经搞定很久了  但是一直也没有发出来.  因为做掉PG还有很多高深的办法,PG也不是那么难过掉的东西.我靠着一些资料埋头研究了半个月之久.成功的在win7 64位下干掉了PG.实现了64SSDT HOOK以及绕驱动签名强制  道理我都懂,没图你说个J8?上图  在开始之前,有几点是必须说的  第
国外网友制作的“重启关闭PATCHGUARD”工具(支持VISTA~8.1)
zz_strive_2012的专栏
11-14 1246
先说明,原帖来自:http://forum.cheatengine.org/viewtopic.php?p=5532009&sid=090fc6ed4ce733e1d775071934350eda 我在闲逛国外论坛时无意中发现的,虽然说不关闭PG也不碍什么事情,不过某些时候还是觉得破了更爽快。 比如最近玩了某TX游戏后,就连VS也无法使用了。解决方法是修改ObReferenceObje
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
qq_41988448的博客
06-02 1973
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
Windows_PatchGuard_机制原理与其对安全领域的影响.pdf
08-07
目录 概述 ·什么是PATCH GUARD? ·PATCH GUARD 执行流程分析 突破手段 ·各系统版本 - 静态突破 ·各系统版本 - 动态突破 ·利用硬件支持进行攻击 一些想法 ·安全厂商与PATCH GUARD ·关注新机制:HYPER GUARD
cpp-EfiGuard实现在启动时禁用PatchGuard和DSE
08-16
EfiGuard是一个便携式x64 UEFI bootkit,可在启动时修补Windows启动管理器,启动加载程序和内核,以禁用PatchGuard和驱动程序签名强制执行(DSE)。
绕过PatchGuard 3
04-04
本文介绍如何在最新的Windows版本上绕过PatchGuard 3。
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8847
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
Windows10 Ring0下过PatchGuard隐藏进程
zcy5157912的博客
03-19 343
Windows10 x64亲测可用
Windows X64 Patch Guard
zz_strive_2012的专栏
05-25 855
先简单介绍下PatchGuard ,摘自百度百科 PatchGuard就是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 PatchGuardWindows Vista加入一个新安全操作层,此前我们为您介绍过的ASLR(Address Space Layout Randomization)亦在这个安全层之下。 PatchGuard能够有效防止内核驱动模式改动或替换Windows内核的任何内容,第三方软件将无法再给Wi
基于VT技术的HOOK流程图
吾无法无天的博客
03-27 4920
基于VT技术,无视PatchGuard MSR HOOK: EPT HOOK: Win10 1809测试:
在Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱)
fyfy
04-11 2769
在Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱) http://www.m5home.com/bbs/thread-5893-1-1.html 此软件的原理是修改内核文件的机器码使得PatchGuard不启动(把原始内核文件复制一份出来才做修改,不是修改原始内核文件),并建立新的内核启动项(新建的内核启动项可以使用msco
windows10 设置静态IP
09-10
要在Windows 10上设置静态IP,可以按照以下步骤进行操作: 1. 打开“设置”:点击任务栏上的“开始”按钮,然后点击“设置”图标(齿轮形状)。 2. 进入“网络和Internet”设置:在“设置”窗口中,点击“网络和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时空隧道

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值