[讨论]让PatchGuard变狗屎的那些方法~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]让PatchGuard变狗屎的那些方法~

发表于: 2012-11-4 03:06 49674

[讨论]让PatchGuard变狗屎的那些方法~

cvcvxk

2012-11-4 03:06

49674

我首先抛砖
1. x64 kermel mode peloader 一枚（以前发的代码里有）
2. x64 HVMEngine 一枚（bluepill的代码大家都有的）
3.syscall hook 模型一枚（wrmsr改syscall很简单，不超过100字节）
4.x64 syscall64hook engine一枚（hookport x64版，论坛有个叫Rprotect的东西）

首先reload ntoskrnl(x64下都是这个名字貌似)
然后定位syscall64和syscall32（RDMSR 0xC0000082 0xC0000083）保存好
初始化HVMEngine在VMEXIT处理MSR的read对syscall64和syscall32的MSR的read给原始值地址。
对新内核做syscall64hook，然后WRMSR修改syscall32和syscall64去新内核。

PG完全无效，完全无效~

砖头的bin和src就不扔了(主要是这个玩意代码太多太长，估计没人看都是拿来复制抄袭的所以不发了)，思路万岁~

由于系统效验syscall的入口是通过RDMSR读取的，所以被vmexit直接骗过了，然后悲剧，悲剧，悲剧。

等人给玉石了

[课程]Android-CTF解题方法汇总！

收藏・90

免费・6

支持

最新回复 (35) 1 2 ▶
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 2 楼在某论坛看过破解内核过PathGuard。不过要有一个新的启动项。 2012-11-4 12:28 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼这个是VT方式，不用新建启动项实时生效的再配合TDSS的load方式 x64已然无限制了 2012-11-4 12:42 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 4 楼那个方法有坏处，就是基本硬编码patch~~ 而且需要重启~ 2012-11-4 14:59 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 5 楼哈哈，果然很妙。完全替代内核啊。 2012-11-5 14:00 0
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 6 楼虽然现在看不明白，但是还是很厉害，标记一下，以后用到的时候再看 2012-11-5 15:14 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 7 楼用你的PageHack（改P*E） + Hook KiRetireDpcList（改CR3） 2012-11-5 18:19 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 8 楼哦，懂了~CR3换到其他进程里去？~最后换回来的实际怎么把握呢？ 2012-11-6 02:25 0
spman 雪币： 739 活跃值： (1080) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 73 粉丝 2 关注私信	spman 9 楼话说""HVMEngine在VMEXIT.....""这个都被你搞了..还有什么搞不定呢 2012-11-6 08:50 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 10 楼关键是没VT的机器上，如何做呢？ 2012-11-8 14:58 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 11 楼给自己电脑上种一个MBR Bootkit。启动时patch掉打开patchguard的代码。 2012-11-8 20:17 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼没VT的只有切CR3了...不过风险巨大~ 2012-11-11 22:54 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 13 楼好东西谢谢楼主分享 2013-1-2 21:37 0
dubious 雪币： 76 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	dubious 14 楼被深深震撼了。一点儿不懂；但都是我迫切需要解决的问题。 lz，年薪多少？想请你到我们公司当教头。 2013-3-14 15:58 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼 ...真的假的..联系QQ:86879759~~ 2013-3-14 16:17 0
Refund 雪币： 200 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Refund 16 楼高手啊，Mark一下 2013-4-4 00:16 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 17 楼 Mark一下 2013-4-4 00:49 0
kjaaa 雪币： 7 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	kjaaa 18 楼不知这个算不算上传的附件： rp-defeating-patchguard.pdf （2.62MB，362次下载） 2013-4-5 13:33 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼文章虽美，但是依赖性太暴力了~ 2013-4-5 15:11 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 20 楼然而，有一种方法可以阻止我们的 PatchGuard 攻击。（见图 10-13。）这就是安全实施通过硬件功能发挥作用的地方。英特尔和迈克菲已经联合开发了 McAfee DeepSAFE® 技术，它利用最新的 64 位处理器的虚拟化功能，在一个新的最高特权级别 (VMX root) 运行代码安全层，而系统的内核代码在其预定的权限级别操作运行。这个安全层为关键区域（包括 CPU 寄存器和存储器区域）配置保护。如果在内核层级运行的任何代码试图修改这些关键区域，硬件将强加给 DeepSAFE 安全层一个安全出口，由其决定是否允许该修改。由于在内核层级运行的代码不再是最高层级，DeepSAFE 可以保护系统免受任何内核层级的攻击。我们针对只运行软件防御的系统的攻击成功了，但是我们针对安装有 DeepSAFE 的（运行 McAfee Deep Defender）系统的攻击则失败了。还是VMX。 2013-4-8 15:39 0
三寸法师雪币： 475 活跃值： (59) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 21 楼以前有个同学发我邮件说vt搞不了PatchGuard，之前一直再忙别的没理他，正好v大把思路发出来了。 2013-4-8 16:31 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 22 楼确实搞不了win8的~~hyper-v关闭后，你会发现win8卡成鬼~~ 2013-4-8 21:34 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 23 楼蛇叔求QQ 2013-8-3 14:08 0
raigeki 雪币： 328 活跃值： (154) 能力值： ( LV12，RANK：310 ) 在线值：发帖 10 回帖 106 粉丝 2 关注私信	raigeki 7 24 楼 mark ！一下 2013-8-3 14:33 0
JessieWang 雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 38 粉丝 0 关注私信	JessieWang 25 楼这个qq的主人看上去是个mm 2013-8-4 14:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 2 楼在某论坛看过破解内核过PathGuard。不过要有一个新的启动项。 2012-11-4 12:28 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 3 楼这个是VT方式，不用新建启动项实时生效的再配合TDSS的load方式 x64已然无限制了 2012-11-4 12:42 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 4 楼那个方法有坏处，就是基本硬编码patch~~ 而且需要重启~ 2012-11-4 14:59 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 5 楼哈哈，果然很妙。完全替代内核啊。 2012-11-5 14:00 0
guijc 雪币： 558 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 106 粉丝 1 关注私信	guijc 6 楼虽然现在看不明白，但是还是很厉害，标记一下，以后用到的时候再看 2012-11-5 15:14 0
Prochg 雪币： 14 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 66 粉丝 2 关注私信	Prochg 7 楼用你的PageHack（改P*E） + Hook KiRetireDpcList（改CR3） 2012-11-5 18:19 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 8 楼哦，懂了~CR3换到其他进程里去？~最后换回来的实际怎么把握呢？ 2012-11-6 02:25 0
spman 雪币： 739 活跃值： (1080) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 73 粉丝 2 关注私信	spman 9 楼话说""HVMEngine在VMEXIT.....""这个都被你搞了..还有什么搞不定呢 2012-11-6 08:50 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 10 楼关键是没VT的机器上，如何做呢？ 2012-11-8 14:58 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 11 楼给自己电脑上种一个MBR Bootkit。启动时patch掉打开patchguard的代码。 2012-11-8 20:17 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼没VT的只有切CR3了...不过风险巨大~ 2012-11-11 22:54 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 13 楼好东西谢谢楼主分享 2013-1-2 21:37 0
dubious 雪币： 76 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	dubious 14 楼被深深震撼了。一点儿不懂；但都是我迫切需要解决的问题。 lz，年薪多少？想请你到我们公司当教头。 2013-3-14 15:58 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼 ...真的假的..联系QQ:86879759~~ 2013-3-14 16:17 0
Refund 雪币： 200 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Refund 16 楼高手啊，Mark一下 2013-4-4 00:16 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 17 楼 Mark一下 2013-4-4 00:49 0
kjaaa 雪币： 7 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	kjaaa 18 楼不知这个算不算上传的附件： rp-defeating-patchguard.pdf （2.62MB，362次下载） 2013-4-5 13:33 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼文章虽美，但是依赖性太暴力了~ 2013-4-5 15:11 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 20 楼然而，有一种方法可以阻止我们的 PatchGuard 攻击。（见图 10-13。）这就是安全实施通过硬件功能发挥作用的地方。英特尔和迈克菲已经联合开发了 McAfee DeepSAFE® 技术，它利用最新的 64 位处理器的虚拟化功能，在一个新的最高特权级别 (VMX root) 运行代码安全层，而系统的内核代码在其预定的权限级别操作运行。这个安全层为关键区域（包括 CPU 寄存器和存储器区域）配置保护。如果在内核层级运行的任何代码试图修改这些关键区域，硬件将强加给 DeepSAFE 安全层一个安全出口，由其决定是否允许该修改。由于在内核层级运行的代码不再是最高层级，DeepSAFE 可以保护系统免受任何内核层级的攻击。我们针对只运行软件防御的系统的攻击成功了，但是我们针对安装有 DeepSAFE 的（运行 McAfee Deep Defender）系统的攻击则失败了。还是VMX。 2013-4-8 15:39 0
三寸法师雪币： 475 活跃值： (59) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 21 楼以前有个同学发我邮件说vt搞不了PatchGuard，之前一直再忙别的没理他，正好v大把思路发出来了。 2013-4-8 16:31 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 22 楼确实搞不了win8的~~hyper-v关闭后，你会发现win8卡成鬼~~ 2013-4-8 21:34 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 23 楼蛇叔求QQ 2013-8-3 14:08 0
raigeki 雪币： 328 活跃值： (154) 能力值： ( LV12，RANK：310 ) 在线值：发帖 10 回帖 106 粉丝 2 关注私信	raigeki 7 24 楼 mark ！一下 2013-8-3 14:33 0
JessieWang 雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 38 粉丝 0 关注私信	JessieWang 25 楼这个qq的主人看上去是个mm 2013-8-4 14:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复