首页
社区
课程
招聘
[分享]老文章系列:过Patchguard的梗
发表于: 2014-4-30 04:28 39786

[分享]老文章系列:过Patchguard的梗

2014-4-30 04:28
39786
收藏
免费 6
支持
分享
最新回复 (65)
雪    币: 3736
活跃值: (3867)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
51
膜老V。
2017-7-21 21:57
0
雪    币: 3
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
52
v大神,我有w10所有过pg文件,但是不会用,能不能帮我写成工具
2017-11-29 14:58
0
雪    币: 130
活跃值: (402)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
因为今生有缘 v大神,我有w10所有过pg文件,但是不会用,能不能帮我写成工具
可以说下你过PG的文件是动态的...还是静态补丁呢?
2017-11-30 20:25
0
雪    币: 300
活跃值: (2447)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
mark
2017-12-4 08:43
0
雪    币: 341
活跃值: (1171)
能力值: ( LV3,RANK:24 )
在线值:
发帖
回帖
粉丝
55
感谢老V的思路
2018-7-17 10:19
0
雪    币: 190
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
我X一老木,看完了说了一句不提供完整工程。
2018-7-17 21:07
0
雪    币: 13
活跃值: (87)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
感谢!不过想请问的是  HookFunction 怎么定义的,能不能发来参考一下?
2018-7-18 13:21
0
雪    币: 1914
活跃值: (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
我尝试了你的方法过PG 但每次卸载就直接重启了 不知道怎么回事
2018-10-23 09:54
0
雪    币: 259
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
59
V校的东西高大上
2019-4-24 15:50
0
雪    币: 57
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
围观
2020-2-6 23:47
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
61
这招在win10下面还好使吗,我在win10_1607_14393下面用一直蓝屏
kd> kp
 # Child-SP          RetAddr           Call Site
00 fffff800`d3dde348 fffff800`d21e996a nt!DbgBreakPointWithStatus
01 fffff800`d3dde350 fffff800`d21e9359 nt!KiBugCheckDebugBreak+0x12
02 fffff800`d3dde3b0 fffff800`d2160094 nt!KeBugCheck2+0x8a5
03 fffff800`d3ddeac0 fffff800`d216b129 nt!KeBugCheckEx+0x104
04 fffff800`d3ddeb00 fffff800`d216b490 nt!KiBugCheckDispatch+0x69
05 fffff800`d3ddec40 fffff800`d216a473 nt!KiFastFailDispatch+0xd0
06 fffff800`d3ddee20 fffff800`d207b0a3 nt!KiRaiseSecurityCheckFailure+0xf3
07 fffff800`d3ddefb0 fffff800`d207ae1f nt!KiExpandKernelStackAndCalloutSwitchStack+0x1f3
08 fffff800`d3ddf010 fffff800`2bcd19b6 nt!KeExpandKernelStackAndCalloutInternal+0x2f
09 fffff800`d3ddf060 fffff800`2b0a392e tcpip+0x619b6
0a fffff800`d3ddf0e0 fffff800`2b0a33c4 ndis+0x392e
0b fffff800`d3ddf1a0 fffff800`2b0a3e97 ndis+0x33c4
0c fffff800`d3ddf2b0 fffff800`2b0a2ce5 ndis+0x3e97
0d fffff800`d3ddf300 fffff800`2d576156 ndis+0x2ce5
0e fffff800`d3ddf4f0 fffff800`2d5773e3 e1i63x64+0x16156
0f fffff800`d3ddf550 fffff800`2d57e315 e1i63x64+0x173e3
10 fffff800`d3ddf5d0 fffff800`2d57e623 e1i63x64+0x1e315
11 fffff800`d3ddf640 fffff800`2d57ddb8 e1i63x64+0x1e623
12 fffff800`d3ddf6d0 fffff800`2b0a4e69 e1i63x64+0x1ddb8
13 fffff800`d3ddf710 fffff800`d204e001 ndis+0x4e69
14 fffff800`d3ddf890 fffff800`d204d3ff nt!KiExecuteAllDpcs+0x2b1
15 fffff800`d3ddf9e0 fffff800`d216301a nt!KiRetireDpcList+0x5df
16 fffff800`d3ddfc60 00000000`00000000 nt!KiIdleLoop+0x5a
kd> !analyze -v

************* Symbol Loading Error Summary **************
Module name            Error
SharedUserData         No error - symbol load deferred

You should also verify that your symbol search path (.sympath) is correct.
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

KERNEL_SECURITY_CHECK_FAILURE (139)
A kernel component has corrupted a critical data structure.  The corruption
could potentially allow a malicious user to gain control of this machine.
Arguments:
Arg1: 0000000000000004, The thread's stack pointer was outside the legal stack
       extents for the thread.
Arg2: fffff800d3ddee20, Address of the trap frame for the exception that caused the bugcheck
Arg3: fffff800d3dded78, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved

Debugging Details:
------------------
2020-10-14 23:38
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
62


这招在win10下面还好使吗,我在win10_1607_14393下面用一直蓝屏
kd> kp
 # Child-SP          RetAddr           Call Site
00 fffff800`d3dde348 fffff800`d21e996a nt!DbgBreakPointWithStatus
01 fffff800`d3dde350 fffff800`d21e9359 nt!KiBugCheckDebugBreak+0x12
02 fffff800`d3dde3b0 fffff800`d2160094 nt!KeBugCheck2+0x8a5
03 fffff800`d3ddeac0 fffff800`d216b129 nt!KeBugCheckEx+0x104
04 fffff800`d3ddeb00 fffff800`d216b490 nt!KiBugCheckDispatch+0x69
05 fffff800`d3ddec40 fffff800`d216a473 nt!KiFastFailDispatch+0xd0
06 fffff800`d3ddee20 fffff800`d207b0a3 nt!KiRaiseSecurityCheckFailure+0xf3
07 fffff800`d3ddefb0 fffff800`d207ae1f nt!KiExpandKernelStackAndCalloutSwitchStack+0x1f3
08 fffff800`d3ddf010 fffff800`2bcd19b6 nt!KeExpandKernelStackAndCalloutInternal+0x2f
09 fffff800`d3ddf060 fffff800`2b0a392e tcpip+0x619b6
0a fffff800`d3ddf0e0 fffff800`2b0a33c4 ndis+0x392e
0b fffff800`d3ddf1a0 fffff800`2b0a3e97 ndis+0x33c4
0c fffff800`d3ddf2b0 fffff800`2b0a2ce5 ndis+0x3e97
0d fffff800`d3ddf300 fffff800`2d576156 ndis+0x2ce5
0e fffff800`d3ddf4f0 fffff800`2d5773e3 e1i63x64+0x16156
0f fffff800`d3ddf550 fffff800`2d57e315 e1i63x64+0x173e3
10 fffff800`d3ddf5d0 fffff800`2d57e623 e1i63x64+0x1e315
11 fffff800`d3ddf640 fffff800`2d57ddb8 e1i63x64+0x1e623
12 fffff800`d3ddf6d0 fffff800`2b0a4e69 e1i63x64+0x1ddb8
13 fffff800`d3ddf710 fffff800`d204e001 ndis+0x4e69
14 fffff800`d3ddf890 fffff800`d204d3ff nt!KiExecuteAllDpcs+0x2b1
15 fffff800`d3ddf9e0 fffff800`d216301a nt!KiRetireDpcList+0x5df
16 fffff800`d3ddfc60 00000000`00000000 nt!KiIdleLoop+0x5a
kd> !analyze -v

************* Symbol Loading Error Summary **************
Module name            Error
SharedUserData         No error - symbol load deferred

You should also verify that your symbol search path (.sympath) is correct.
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

KERNEL_SECURITY_CHECK_FAILURE (139)
A kernel component has corrupted a critical data structure.  The corruption
could potentially allow a malicious user to gain control of this machine.
Arguments:
Arg1: 0000000000000004, The thread's stack pointer was outside the legal stack
	extents for the thread.
Arg2: fffff800d3ddee20, Address of the trap frame for the exception that caused the bugcheck
Arg3: fffff800d3dded78, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved

Debugging Details:
------------------


最后于 2020-10-14 23:42 被wx_普贤编辑 ,原因:
2020-10-14 23:40
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
63
V大神,这招在win10下面还好使吗,我在win10_1607_14393下面用一直蓝屏,是缺失了什么吗?


最后于 2020-10-16 01:00 被wx_普贤编辑 ,原因:
2020-10-14 23:40
0
雪    币: 225
活跃值: (413)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64

感谢大牛,研究研究

最后于 2020-10-27 19:04 被宋天河编辑 ,原因:
2020-10-27 17:59
0
雪    币: 2674
活跃值: (2304)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
65
感谢提供!收藏了,我把手头的事情忙完了后,就来学习下这个。
2020-10-28 10:21
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
66
WIN7可以过,WIN8不行,WIN10的1809也不行,但是在WIN10的1909上测却可以
2021-1-22 22:06
0
游客
登录 | 注册 方可回帖
返回
//