|
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。 VT,中文名“虚拟化技术”,本意是设计给虚拟机用的,目的是提高虚拟机的执行效率。然而在国内各种不正之风的影响下,VT变成了内核层对抗用的新砝码,甚至还有逗逼认为“VT是为了方便过保护而出的”(头一次听说INTEL还开展外挂业务)。于是我也不能免俗一回,把几种比较好玩的东西做成了PoC,权当娱乐大众。总体来说,实现了:
1.不触发PatchGuard的(S)SSDT HOOK。
2.不修改内存的RING3 API HOOK(两种方法,理论上说可以避过内存CRC检查)。
3.无限硬件执行断点(不依赖调试寄存器)。
4.进程内存读取欺骗等其它功能(不稳定,没放到公开的PoC里)。
支持WIN7X64~WIN10X64(16299)(无任何硬编码,理论上说可以直接支持后续操作系统而无需修改。但由于后续系统可能默认开启了VBS,从而导致该PoC无法工作)。 |
|