[分享]那些年我们一起爆的PatchGuard-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]那些年我们一起爆的PatchGuard

发表于: 2014-5-4 12:13 21417

[分享]那些年我们一起爆的PatchGuard

Winker

2014-5-4 12:13

21417

我也上传一个样本，无hook，无驱，无壳无花，纯ring3，亲测可用

想要的自己F5.

*****************************************************
@c:
@set ENTRY_GUID={46595952-454E-4F50-4747-554944FFFFFF}
@bcdedit -create %ENTRY_GUID% -d "Microsoft Windows 7" -application OSLOADER
@bcdedit -set %ENTRY_GUID% device partition=%SYSTEMDRIVE%
@bcdedit -set %ENTRY_GUID% osdevice partition=%SYSTEMDRIVE%
@bcdedit -set %ENTRY_GUID% systemroot \Windows
@copy \Windows\system32\Winload.exe \Windows\system32\freeload.exe
@bcdedit -set %ENTRY_GUID% path \Windows\system32\freeload.exe
@copy \Windows\system32\ntoskrnl.exe \Windows\system32\goodkrnl.exe
@bcdedit -set %ENTRY_GUID% kernel goodkrnl.exe
@bcdedit -set %ENTRY_GUID% recoveryenabled 0
@bcdedit -set %ENTRY_GUID% nx OptOut
@bcdedit -set %ENTRY_GUID% nointegritychecks 1
@bcdedit -set %ENTRY_GUID% testsigning 1
@bcdedit -displayorder %ENTRY_GUID% -addlast
@bcdedit -timeout 0
@bcdedit -delete {current}
@bcdedit -default %ENTRY_GUID%
@sc config peauth start= demand
*****************************************************

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

fuck_pgds_win7_by_TA.rar （253.94kb，716次下载）

收藏・33

免费・0

支持

最新回复 (33) 1 2 ▶
ugvjewxf 雪币： 615 活跃值： (580) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 2 楼 A总，我也爱你，哈哈，，，，， 2014-5-4 12:14 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 195 关注私信	安于此生 34 3 楼顶A总... 2014-5-4 12:16 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 4 楼前排支持 2014-5-4 12:25 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 195 关注私信	安于此生 34 5 楼滴水已经疯了... 节操掉满地 2014-5-4 12:26 0
yxhbboy 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 347 粉丝 0 关注私信	yxhbboy 6 楼感谢分享，灰常感谢！ 2014-5-4 12:37 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 7 楼有一个补丁 2014-5-4 12:38 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 8 楼这个是patch kernel的吧？ 2014-5-4 13:07 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 9 楼 108位好汉赞撸主~ 滴水丧心病狂的收费方式,还是N多人上当…… 2014-5-4 13:22 0
逻辑错误雪币： 3725 活跃值： (614) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 10 楼前排围观, 下载看看~ 多谢分享. 2014-5-4 14:17 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 11 楼 reload? 还是改文件? 我这没看.. 2014-5-4 14:29 0
neite 雪币： 1626 活跃值： (148) 能力值： ( LV4，RANK：40 ) 在线值：发帖 17 回帖 105 粉丝 0 关注私信	neite 12 楼顶，A总。。。。 2014-5-4 14:31 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 13 楼值，这叫高调营销 2014-5-4 15:13 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 14 楼呵呵，好日子天天有啊!! 2014-5-4 15:51 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 15 楼感觉这个没什么意义啊游戏保护在x64不做ssdt hook了其他商业软件不可能跟ms对着干，那是自找死路。。。过掉又能做什么呢？ 2014-5-4 16:47 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 16 楼卖多少钱是人家的事情你买或者不买是你的事情。。。何必这样喷人呢。 2014-5-4 16:49 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 17 楼又一个，有空去试试 2014-5-4 17:22 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 18 楼关键是拿别人的作品来喷你们的竞争对手……有意思么…… 2014-5-4 17:58 0
SIST 雪币： 37 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	SIST 19 楼你的资料来自于TA的内部培训资料,你直接公开了,还叫人家搞培训吗,不明白你是怎么想的 2014-5-4 18:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 20 楼此法需要修改文件+需要重启重启是非常不科学的。其实这方法还不如我很多年前用Bootkit动态patch 引导模式检测爽了. 2014-5-4 22:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 21 楼滴水那个是VMX动态和谐的，跟360类似，但是有不太一样。 2014-5-4 22:40 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 22 楼 Bootkit现在是各家严防死守的对象，反倒添加启动项的方法比较和和谐，而且你那个方法不也要重启要说，还是搬走活动分区的方法最爽。。。。当然要是Hot_Patch能支持WIN8 WIN8.1那才是真正的屌 2014-5-4 22:40 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 23 楼 BOOTKIT也是可以的，大不了0day上场~ 我发布的那个不需要重启的~~我是和老外一个路子下来的，不重启和谐淡定~ Win8,win8.1就是代码和hook的东西要改一下~~ 思路还是hook KiRetireDpcList做时光倒流，只是第二个检测蓝屏的hook位置有变化~ 具体这个怎么撸，自己ida分析一下吧~ 2014-5-4 22:44 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 24 楼 Bootkit方式，如果要是自己用的话，没有什么严防死守这一说，并且xp~win 8.1都能支持的很好(BK过PG这块我只看过WIN7的)。我个人倾向内存动态Patch，省得在硬盘上多俩文件看着闹心。再一个看Bootkit看怎么防了。。。无论写入也好，写入后的查杀也好处理。那512字节的代码能搞出很多花样，详见02年以前的29A的资料，DOS VIRUS部分，DOS VIRUS的Polymorphic非常成熟。。。随便搞搞就能过一些查杀，老文章新读新体会。 2014-5-4 22:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 25 楼你发的代码是不是有暗桩。。。。。。 2014-5-5 11:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Winker

133

发帖

1127

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
ugvjewxf 雪币： 615 活跃值： (580) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 2 楼 A总，我也爱你，哈哈，，，，， 2014-5-4 12:14 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 195 关注私信	安于此生 34 3 楼顶A总... 2014-5-4 12:16 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 4 楼前排支持 2014-5-4 12:25 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 195 关注私信	安于此生 34 5 楼滴水已经疯了... 节操掉满地 2014-5-4 12:26 0
yxhbboy 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 347 粉丝 0 关注私信	yxhbboy 6 楼感谢分享，灰常感谢！ 2014-5-4 12:37 0
viphack 雪币： 219 活跃值： (773) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 7 楼有一个补丁 2014-5-4 12:38 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 8 楼这个是patch kernel的吧？ 2014-5-4 13:07 0
yimingqpa 雪币： 6524 活跃值： (4316) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 51 关注私信	yimingqpa 1 9 楼 108位好汉赞撸主~ 滴水丧心病狂的收费方式,还是N多人上当…… 2014-5-4 13:22 0
逻辑错误雪币： 3725 活跃值： (614) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 10 楼前排围观, 下载看看~ 多谢分享. 2014-5-4 14:17 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 11 楼 reload? 还是改文件? 我这没看.. 2014-5-4 14:29 0
neite 雪币： 1626 活跃值： (148) 能力值： ( LV4，RANK：40 ) 在线值：发帖 17 回帖 105 粉丝 0 关注私信	neite 12 楼顶，A总。。。。 2014-5-4 14:31 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 13 楼值，这叫高调营销 2014-5-4 15:13 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 14 楼呵呵，好日子天天有啊!! 2014-5-4 15:51 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 15 楼感觉这个没什么意义啊游戏保护在x64不做ssdt hook了其他商业软件不可能跟ms对着干，那是自找死路。。。过掉又能做什么呢？ 2014-5-4 16:47 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 16 楼卖多少钱是人家的事情你买或者不买是你的事情。。。何必这样喷人呢。 2014-5-4 16:49 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 17 楼又一个，有空去试试 2014-5-4 17:22 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 18 楼关键是拿别人的作品来喷你们的竞争对手……有意思么…… 2014-5-4 17:58 0
SIST 雪币： 37 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	SIST 19 楼你的资料来自于TA的内部培训资料,你直接公开了,还叫人家搞培训吗,不明白你是怎么想的 2014-5-4 18:10 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 20 楼此法需要修改文件+需要重启重启是非常不科学的。其实这方法还不如我很多年前用Bootkit动态patch 引导模式检测爽了. 2014-5-4 22:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 21 楼滴水那个是VMX动态和谐的，跟360类似，但是有不太一样。 2014-5-4 22:40 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 22 楼 Bootkit现在是各家严防死守的对象，反倒添加启动项的方法比较和和谐，而且你那个方法不也要重启要说，还是搬走活动分区的方法最爽。。。。当然要是Hot_Patch能支持WIN8 WIN8.1那才是真正的屌 2014-5-4 22:40 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 23 楼 BOOTKIT也是可以的，大不了0day上场~ 我发布的那个不需要重启的~~我是和老外一个路子下来的，不重启和谐淡定~ Win8,win8.1就是代码和hook的东西要改一下~~ 思路还是hook KiRetireDpcList做时光倒流，只是第二个检测蓝屏的hook位置有变化~ 具体这个怎么撸，自己ida分析一下吧~ 2014-5-4 22:44 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 24 楼 Bootkit方式，如果要是自己用的话，没有什么严防死守这一说，并且xp~win 8.1都能支持的很好(BK过PG这块我只看过WIN7的)。我个人倾向内存动态Patch，省得在硬盘上多俩文件看着闹心。再一个看Bootkit看怎么防了。。。无论写入也好，写入后的查杀也好处理。那512字节的代码能搞出很多花样，详见02年以前的29A的资料，DOS VIRUS部分，DOS VIRUS的Polymorphic非常成熟。。。随便搞搞就能过一些查杀，老文章新读新体会。 2014-5-4 22:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 25 楼你发的代码是不是有暗桩。。。。。。 2014-5-5 11:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复