突破WIN7的PatchGuard

????WIN64?有兩個內(nèi)核保護(hù)機(jī)制，KPP?和?DSE。KPP?阻止我們?PATCH?內(nèi)核，DSE?攔截我們加載驅(qū)動。當(dāng)然?KPP?和?DSE?并不是不可戰(zhàn)勝的，WIN7X64?出來不久，FYYRE?就發(fā)布了破解內(nèi)核的工具，后來有個叫做?Feryno?的人又公開了源代碼。

????要實現(xiàn)突破?DSE?和?PatchGuard，必須修改兩個文件，winload.exe?以及ntoskrnl.exe。

細(xì)節(jié)就不說了，大體思路就是在winload.exe改一個地方，ntoskrnl.exe改兩個地方，直接改變代碼段的邏輯，把簽名校驗和一些驗證的東西給磨掉了，改完后記得修改PE文件的checksum。這一章節(jié)看了兩遍，但是并沒有打算仔細(xì)整理，因為實戰(zhàn)作用不大，1是因為要改PE文件；2是還要重啟生效，同時生效后所有的簽名都隨便加載了，實用性不是很大，說道重啟，可以弄一個小把戲，現(xiàn)在機(jī)器上開啟調(diào)試模式，然后把自己的安裝程序埋伏好，下次重啟的時候馬上裝上驅(qū)動，然后在立刻重啟一次，但是有個問題沒有驗證，在調(diào)試模式下裝的驅(qū)動，取消調(diào)試模式之后是否可以正常工作，或者就直接用TDL內(nèi)存里加載64位無簽名驅(qū)動就行了。

總結(jié)

以上是生活随笔為你收集整理的Win64 驱动内核编程-10.突破WIN7的PatchGuard的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。