首页
社区
课程
招聘
[分享]那些年我们一起爆的PatchGuard
发表于: 2014-5-4 12:13 21417

[分享]那些年我们一起爆的PatchGuard

2014-5-4 12:13
21417


我也上传一个样本,无hook,无驱,无壳无花,纯ring3,亲测可用

想要的自己F5.

*****************************************************
@c:
@set ENTRY_GUID={46595952-454E-4F50-4747-554944FFFFFF}
@bcdedit -create %ENTRY_GUID% -d "Microsoft Windows 7" -application OSLOADER
@bcdedit -set %ENTRY_GUID% device partition=%SYSTEMDRIVE%
@bcdedit -set %ENTRY_GUID% osdevice partition=%SYSTEMDRIVE%
@bcdedit -set %ENTRY_GUID% systemroot \Windows
@copy \Windows\system32\Winload.exe \Windows\system32\freeload.exe
@bcdedit -set %ENTRY_GUID% path \Windows\system32\freeload.exe
@copy \Windows\system32\ntoskrnl.exe \Windows\system32\goodkrnl.exe
@bcdedit -set %ENTRY_GUID% kernel goodkrnl.exe
@bcdedit -set %ENTRY_GUID% recoveryenabled 0
@bcdedit -set %ENTRY_GUID% nx OptOut
@bcdedit -set %ENTRY_GUID% nointegritychecks 1
@bcdedit -set %ENTRY_GUID% testsigning 1

@bcdedit -displayorder %ENTRY_GUID% -addlast
@bcdedit -timeout 0
@bcdedit -delete {current}
@bcdedit -default %ENTRY_GUID%
@sc config peauth start= demand
*****************************************************

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (33)
雪    币: 615
活跃值: (580)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
2
A总,我也爱你,哈哈,,,,,
2014-5-4 12:14
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
3
顶A总...
2014-5-4 12:16
0
雪    币: 114
活跃值: (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
前排支持
2014-5-4 12:25
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
5
滴水已经疯了...  节操掉满地
2014-5-4 12:26
0
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
感谢分享,灰常感谢!
2014-5-4 12:37
0
雪    币: 219
活跃值: (773)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
7
有一个补丁
2014-5-4 12:38
0
雪    币: 2271
活跃值: (2160)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
8
这个是patch kernel的吧?
2014-5-4 13:07
0
雪    币: 6524
活跃值: (4316)
能力值: ( LV10,RANK:163 )
在线值:
发帖
回帖
粉丝
9


108位好汉赞撸主~
滴水丧心病狂的收费方式,还是N多人上当……
2014-5-4 13:22
0
雪    币: 3725
活跃值: (614)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
前排围观, 下载看看~  多谢分享.
2014-5-4 14:17
0
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
reload?
还是改文件?

我这没看..
2014-5-4 14:29
0
雪    币: 1626
活跃值: (148)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
12
顶,A总。。。。
2014-5-4 14:31
0
雪    币: 239
活跃值: (190)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
13
值,这叫高调营销
2014-5-4 15:13
0
雪    币: 135
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
呵呵,好日子天天有啊!!
2014-5-4 15:51
0
雪    币: 61
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
感觉这个没什么意义啊  游戏保护在x64不做ssdt hook了 其他商业软件不可能跟ms对着干,那是自找死路。。。过掉又能做什么呢?
2014-5-4 16:47
0
雪    币: 61
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
卖多少钱是人家的事情  你买或者不买是你的事情。。。何必这样喷人呢。
2014-5-4 16:49
0
雪    币: 167
活跃值: (190)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
17
又一个,有空去试试
2014-5-4 17:22
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
关键是拿别人的作品来喷你们的竞争对手……有意思么……
2014-5-4 17:58
0
雪    币: 37
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
你的资料来自于TA的内部培训资料,你直接公开了,还叫人家搞培训吗,不明白你是怎么想的
2014-5-4 18:10
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
20
此法需要 修改文件+需要重启

重启是非常不科学的。

其实这方法还不如我很多年前用Bootkit动态patch 引导模式检测爽了.
2014-5-4 22:36
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
21
滴水那个是VMX动态和谐的,跟360类似,但是有不太一样。
2014-5-4 22:40
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
Bootkit现在是各家严防死守的对象,反倒添加启动项的方法比较和和谐,而且你那个方法不也要重启

要说,还是搬走活动分区的方法最爽。。。。

当然要是Hot_Patch能支持WIN8 WIN8.1那才是真正的屌
2014-5-4 22:40
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
23
BOOTKIT也是可以的,大不了0day上场~

我发布的那个不需要重启的~~我是和老外一个路子下来的,不重启和谐淡定~

Win8,win8.1就是代码和hook的东西要改一下~~

思路还是hook KiRetireDpcList做时光倒流,只是第二个检测蓝屏的hook位置有变化~
具体这个怎么撸,自己ida分析一下吧~
2014-5-4 22:44
0
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
Bootkit方式,如果要是自己用的话,没有什么严防死守这一说,并且xp~win 8.1都能支持的很好(BK过PG这块我只看过WIN7的)。我个人倾向内存动态Patch,省得在硬盘上多俩文件看着闹心。

再一个看Bootkit看怎么防了。。。无论写入也好,写入后的查杀也好处理。
那512字节的代码能搞出很多花样,详见02年以前的29A的资料,DOS VIRUS部分,DOS VIRUS的Polymorphic非常成熟。。。随便搞搞就能过一些查杀,老文章新读新体会。
2014-5-4 22:59
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
你发的代码是不是有暗桩。。。。。。
2014-5-5 11:04
0
游客
登录 | 注册 方可回帖
返回
//