[求助]关于windows8数字签名修改-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
北京微风雪币： 480 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 102 粉丝 1 关注私信	北京微风 2 楼学习下，谢谢楼主分享 2013-7-9 15:55 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 3 楼先改bootmgr, 再winload.exe, 再ntoskrnl.exe. 2013-7-18 13:27 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 4 楼如果你的系統是efi啓動的話，得先看看 EFI裏有沒關掉security boot的選項。 2013-7-18 13:29 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 5 楼这个没什么意义，X64的DSE都被过得一塌糊涂了，更别说很多安全特性都达不到的X86了。 2013-7-18 22:28 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 6 楼太难了，这几个环节都有相互检查的代码。貌似新的bootmgr还加密了。还是直接改内存方便 2013-7-26 15:37 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 7 楼这个真没意义？系统限制只能运行微软签名的程序，恶意代码根本无法执行。反过来说，假如现在有一个lockdown的系统，不能运行第三方代码，你有何办法突破？如果你可以，我可以把我的surface rt送给你 2013-7-26 15:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼拆开后，把disk拔下来，接到另一台机器上改完，再插回去。 2013-7-26 16:03 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 9 楼太简单了，VB脚本啊。。。随便找个溢出漏洞啊。。你的surface不够，你估计得搞一堆才够了。。。你以为surface是咋被jail break的 2013-7-26 21:08 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 10 楼 surface被jailbreak是因为用了微软的调试器，而且必须是人为主动去使用，正常系统会留下这个接口吗？你说你能用一个脚本修改一个内核态内存，你把这个脚本写出来，我立马把surface给你 2013-7-26 23:35 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 11 楼搞笑，为什么要修改内核内存，你不是要防病毒吗？还有，没人稀罕你那死难用的surface 2013-7-27 08:45 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 12 楼为什么要修改内核内存 2013-7-27 10:56 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 13 楼 bootmgr里面包含一个bootmgr.exe,用 xpress_huff 压缩的。提取，去掉对winload.EXE的校验，改好完放回。然后去掉winload.exe，ntoskernel.exeDe校验。这三个文件的校验代码很相似的。去校验的同时，可以顺便做： 1. 去掉用户态dll数字签名 2. 去掉试用版系统的时间限制 3. 去掉32位系统的可用内存限制以上在win7，win8下测试OK。通过加载驱动来patch内核的做法可能可以，没试过，不过，加载时机可能太晚，导致非法模块早于我们的驱动被加载。 2013-8-8 11:17 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 14 楼感谢回复，回答的非常详细了。前段时间自己尝试过，鉴于自己能力有限，放弃了。希望这个想法能被一些安全相关软件采纳，通过优先加载驱动修改内核的方法，启动到一种“杀毒模式” 当然，patch文件的方法只能私下使用，不可能被被正规软件使用。 2013-8-8 13:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
北京微风雪币： 480 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 102 粉丝 1 关注私信	北京微风 2 楼学习下，谢谢楼主分享 2013-7-9 15:55 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 3 楼先改bootmgr, 再winload.exe, 再ntoskrnl.exe. 2013-7-18 13:27 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 4 楼如果你的系統是efi啓動的話，得先看看 EFI裏有沒關掉security boot的選項。 2013-7-18 13:29 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 5 楼这个没什么意义，X64的DSE都被过得一塌糊涂了，更别说很多安全特性都达不到的X86了。 2013-7-18 22:28 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 6 楼太难了，这几个环节都有相互检查的代码。貌似新的bootmgr还加密了。还是直接改内存方便 2013-7-26 15:37 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 7 楼这个真没意义？系统限制只能运行微软签名的程序，恶意代码根本无法执行。反过来说，假如现在有一个lockdown的系统，不能运行第三方代码，你有何办法突破？如果你可以，我可以把我的surface rt送给你 2013-7-26 15:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 8 楼拆开后，把disk拔下来，接到另一台机器上改完，再插回去。 2013-7-26 16:03 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 9 楼太简单了，VB脚本啊。。。随便找个溢出漏洞啊。。你的surface不够，你估计得搞一堆才够了。。。你以为surface是咋被jail break的 2013-7-26 21:08 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 10 楼 surface被jailbreak是因为用了微软的调试器，而且必须是人为主动去使用，正常系统会留下这个接口吗？你说你能用一个脚本修改一个内核态内存，你把这个脚本写出来，我立马把surface给你 2013-7-26 23:35 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 11 楼搞笑，为什么要修改内核内存，你不是要防病毒吗？还有，没人稀罕你那死难用的surface 2013-7-27 08:45 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 12 楼为什么要修改内核内存 2013-7-27 10:56 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 13 楼 bootmgr里面包含一个bootmgr.exe,用 xpress_huff 压缩的。提取，去掉对winload.EXE的校验，改好完放回。然后去掉winload.exe，ntoskernel.exeDe校验。这三个文件的校验代码很相似的。去校验的同时，可以顺便做： 1. 去掉用户态dll数字签名 2. 去掉试用版系统的时间限制 3. 去掉32位系统的可用内存限制以上在win7，win8下测试OK。通过加载驱动来patch内核的做法可能可以，没试过，不过，加载时机可能太晚，导致非法模块早于我们的驱动被加载。 2013-8-8 11:17 0
zbtzb 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	zbtzb 14 楼感谢回复，回答的非常详细了。前段时间自己尝试过，鉴于自己能力有限，放弃了。希望这个想法能被一些安全相关软件采纳，通过优先加载驱动修改内核的方法，启动到一种“杀毒模式” 当然，patch文件的方法只能私下使用，不可能被被正规软件使用。 2013-8-8 13:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复