[测试]WIN64全平台支持的驱动路径欺骗(过PCHUNTER等流行ARK)
如果需要购买这个PoC的源码,请查看这里。注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。WIN32版本:http://www.m5home.com/bbs/thread-8199-1-1.html不废话直接上图:自己的驱动被PCHUNTER识别成了系统自带的FASTFAT.SYS。支持XP~WIN11,且不触发PATCHGUARD。
可惜的是,这样子修改之后驱动就无法卸载了(其实还是可以的,只不过我在DEMO里偷懒了)。 神奇的东西。 有源代码就好了 厉害,学习下 学习一下谢谢楼主
页:
[1]