首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]DisablePatchGuard.sys
发表于: 2013-2-11 17:00 12045

[原创]DisablePatchGuard.sys

correy 活跃值
4
2013-2-11 17:00
12045

人家早(2006年)都解决了,咱才开始。

windows 8 和windows server 2012没有测试,可能不支持。

测试条件:
1.需要数字签名。
2.自己搞个64位的ssdt hook或者别的。
3.正常启动,不要调试等模式启动。
4.超过30分钟不蓝屏,就成功了。

网上也有些资料,但是大多不能直接编译通过,即使编译通过起效果的也没几个,收集的有:
1.改变或者添加启动模式,如安全,调试,签名等。
2.替换内核文件,那就是吧加载PatchGuard的机制给去掉。
3.从定时器队列中摘除。
4.KeBugCheckEx Hook(有汇编文件的那个),编译成功,但依旧在自己的hook函数中蓝屏,代号:0x109。
5.异常处理。
6.一些hook库,依旧蓝屏,代号:0x109。
7.其他,等你告诉我。

注释:隐藏进程的摘链,inline hook都会被PatchGuard发现,难道是我的问题,测试环境是windows server 2008 r2。

本文件:
第一次:运行10分钟蓝屏,蓝屏代号:0x109.估计是我的问题。
第二次:运行一个小时左右没有蓝屏。
第三次:运行半小时没有蓝屏。
第四次:运行6个多小时了没有蓝屏。

我已经蓝屏几百次了,总结在20-30分钟必定蓝屏。

这也不能双机调试,只能分析dump,偶尔看看Dbgview.exe.还好有源码。

网上很少见bin,特发一个(checked版本),对于有的人 bin约等于80%的code.

附:
0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

CRITICAL_STRUCTURE_CORRUPTION (109)
This bugcheck is generated when the kernel detects that critical kernel code or
data have been corrupted. There are generally three causes for a corruption:
1) A driver has inadvertently or deliberately modified critical kernel code
or data. See http://www.microsoft.com/whdc/driver/kernel/64bitPatching.mspx
2) A developer attempted to set a normal kernel breakpoint using a kernel
debugger that was not attached when the system was booted. Normal breakpoints,
"bp", can only be set if the debugger is attached at boot time. Hardware
breakpoints, "ba", can be set at any time.
3) A hardware corruption occurred, e.g. failing RAM holding kernel code or data.
Arguments:
Arg1: a3a039d895981598, Reserved
Arg2: b3b7465ee814e7d6, Reserved
Arg3: fffff800016bd450, Failure type dependent information
Arg4: 0000000000000001, Type of corrupted region, can be
        0 : A generic data region
        1 : Modification of a function or .pdata
        2 : A processor IDT
        3 : A processor GDT
        4 : Type 1 process list corruption
        5 : Type 2 process list corruption
        6 : Debug routine modification
        7 : Critical MSR modification

Debugging Details:
------------------

BUGCHECK_STR:  0x109

DEFAULT_BUCKET_ID:  CODE_CORRUPTION

PROCESS_NAME:  System

CURRENT_IRQL:  0

LAST_CONTROL_TRANSFER:  from 0000000000000000 to fffff8000168ef00

STACK_TEXT:  
fffff880`01f0f598 00000000`00000000 : 00000000`00000109 a3a039d8`95981598 b3b7465e`e814e7d6 fffff800`016bd450 : nt!KeBugCheckEx

STACK_COMMAND:  kb

CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt
    fffff80001695105 - nt!SwapContext_PatchXSave+2
        [ 01:21 ]
    fffff800016951e8 - nt!SwapContext_PatchXRstor+2 (+0xe3)
        [ 09:29 ]
    fffff800016953a5 - nt!EnlightenedSwapContext_PatchXSave+2 (+0x1bd)
        [ 01:21 ]
    fffff8000169548a - nt!EnlightenedSwapContext_PatchXRstor+2 (+0xe5)
        [ 09:29 ]
    fffff800016bd450-fffff800016bd45e  15 bytes - nt!_C_specific_handler (+0x27fc6)
        [ 4c 8b dc 49 89 5b 08 49:48 b8 b0 13 fc 04 80 f8 ]
    fffff80001747480 - nt!DbgPrint (+0x8a030)
        [ 4c:c3 ]
20 errors : !nt (fffff80001695105-fffff80001747480)

MODULE_NAME: memory_corruption

IMAGE_NAME:  memory_corruption

FOLLOWUP_NAME:  memory_corruption

DEBUG_FLR_IMAGE_TIMESTAMP:  0

MEMORY_CORRUPTOR:  LARGE

FAILURE_BUCKET_ID:  X64_MEMORY_CORRUPTION_LARGE

BUCKET_ID:  X64_MEMORY_CORRUPTION_LARGE

Followup: memory_corruption
---------

本人算是经验分享吧!代码就不发了。
不足与错误,请指正。

made by correy
QQ:112426112
Email:kouleguan at hotmail dot com
Website:http://correy.webs.com


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (10)
iloveqqp
雪    币: 1530
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没码没意思,老外都有自动工具了...你懂得
2013-2-11 21:17
0
学雄
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
3
PG早就升级了,你文章还2006年的,不过期才怪

最稳定的方法貌似就是F8中的调试模式,有个补丁是把调试模式用做启动注册项的,貌似很稳定
2013-2-11 22:03
0
AioliaSky
雪    币: 257
活跃值: (67)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
PG来关注一下,谢LZ分享...
2013-2-11 22:12
0
kman
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
WIN7的PG没意思,分分钟就秒了,看WIN8的吧,各种VM~
2013-2-12 22:00
0
cvcvxk
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
6
PG早就没意思了...
2013-2-13 19:31
0
caolinkai
雪    币: 3836
活跃值: (4142)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7

v校求爆料
2013-2-20 10:35
0
boywhp
雪    币: 1233
活跃值: (907)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
私信
8
最烦秒这秒那,又藏着捂着的了~
2013-2-20 11:29
0
jeffli
雪    币: 233
活跃值: (10)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
9
请问这个是运行以后永久破解还是重启后恢复原样?
2013-11-3 22:41
0
kman
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
明显不可能支持win8
2013-11-4 09:39
0
qvbgod
雪    币: 190
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
我来抄祖坟,不行就开口喷
2018-7-17 21:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//