|
|
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。
加载驱动后,驱动会创建一个新线程并在DBGVIEW里不断输出信息,但是PCHUNTER和Windows Kernel Explorer等ARK却无法找到该内核线程。该驱动支持XP到WIN10(19043),并兼容PatchGuard。在驱动不加VMP的情况下,则支持在开启了VBS+HVCI的系统上运行。该驱动需要硬编码才能支持新系统,在实际应用中可以采取“云下发硬编码”的方式动态支持新系统,也可以通过下载符号文件动态获得硬编码。
|
|
发表于 2021-6-30 07:12:37
