好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 xnhlover 于 2022-12-8 12:23 编辑
windows10静态禁用patchguard全过程
一 准备在system32文件夹下找到ntoskrnl.exe, winload.exe, winload.efi三个文件并拷贝到一个空目录,用于临时修改,下面每个文件都要找一个函数的头部进行修改,找函数不难,丢到IDA里直接就能找到了.二 ntoskrnl.exe修改找到内核文件中函数KiFilterFiberContext的头部改成下面2条代码,函数直接返回b0 01 mov al,1c3 retn这样改后,patchguard在引导初始化时就被跳过了三 winload.exe修改找到函数OslInitializeCodeIntegrity头部改成如下2条代码,在引导阶段对内核签名校验直接返回1b0 01 mov al,1c3 retn四 winload.efi修改找到ImgpValidateImageHash函数开始位置,同样修改成2条指令,返回0,校验正常.33 C0 xor eax, eaxC3 retn五 修正文件校验和以上3个文件修改后,文件校验和还需要修正,下载一个PPEE1.1.2工具,把3个文件都用这个工具打开  ​编辑校验和错误,那么会显示红色,直接双击照着提示更正的结果修改,然后点保存.,文件校验和一定要修改,windows内核文件加载时都会检查这个校验和,不正确就无法加载了, 到这里文件的修改就完成了.六 执行禁用强制签名参数在命令行执行bcdedit.exe /set nointegritychecks on 禁用强制签名,但经过实际测试,这条命令在windows10中并不起作用,设置了照样不能加载无签名驱动,但是要加载修改后的内核,却需要执行这条命令,如果不设置这条命令,引导修改的内核会无法加载.七 文件替换修改完成后,把这3个文件替换到system32下,另外winload.exe和winload.efi还要替换到system32\boot下,这里也有2个同样的文件,因为对system32下的文件权限不够,不设置权限是替换不了的,有2种方式可以替换system32下的文件,一是对要替换的文件设置所属用户为administrator,然后修改administrator对替换文件的修改权限,二是用启动pe系统直接拷贝.为了保险起见,替换之前需要备份好原来的文件,以便失败后,可以通过pe把原来的文件恢复回去. 本人是在windows10 1809和windows2019 1809这个版本通过上述操作禁用成功.其他版本,特别是比这更老的版本多半也是可以成功.​ |
|
[复制链接]
发表于 2022-12-8 12:21
