突破WIN7的PatchGuard

????WIN64?有兩個內核保護機制，KPP?和?DSE。KPP?阻止我們?PATCH?內核，DSE?攔截我們加載驅動。當然?KPP?和?DSE?并不是不可戰勝的，WIN7X64?出來不久，FYYRE?就發布了破解內核的工具，后來有個叫做?Feryno?的人又公開了源代碼。

????要實現突破?DSE?和?PatchGuard，必須修改兩個文件，winload.exe?以及ntoskrnl.exe。

細節就不說了，大體思路就是在winload.exe改一個地方，ntoskrnl.exe改兩個地方，直接改變代碼段的邏輯，把簽名校驗和一些驗證的東西給磨掉了，改完后記得修改PE文件的checksum。這一章節看了兩遍，但是并沒有打算仔細整理，因為實戰作用不大，1是因為要改PE文件；2是還要重啟生效，同時生效后所有的簽名都隨便加載了，實用性不是很大，說道重啟，可以弄一個小把戲，現在機器上開啟調試模式，然后把自己的安裝程序埋伏好，下次重啟的時候馬上裝上驅動，然后在立刻重啟一次，但是有個問題沒有驗證，在調試模式下裝的驅動，取消調試模式之后是否可以正常工作，或者就直接用TDL內存里加載64位無簽名驅動就行了。

總結

以上是生活随笔為你收集整理的Win64 驱动内核编程-10.突破WIN7的PatchGuard的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。