在Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱)

Tesla.Angela

此软件的原理是修改内核文件的机器码使得PatchGuard不启动（把原始内核文件复制一份出来才做修改，不是修改原始内核文件），并建立新的内核启动项（新建的内核启动项可以使用msconfig来删除）。

---

PS：我在跟网友聊天的过程中，发现有部分网友对PatchGuard视若神灵，认为破解PatchGuard是一种“此路不通”、“不可接受”行为，也不可能完美破解PatchGuard。我要告诉大家，WINDOWS也不过是一个软件而已，『破解PatchGuard』跟『破解收费软件的注册机制』一样，或者说跟『苹果产品的“越狱”』一样，只是破除软件的人为限制而已，没什么值得大惊小怪的。至于是否完美，我只能说世界上没有完美的事物。但经我超过半年的使用，破解了PatchGuard的内核十分稳定，没有出现过意外蓝屏。如果您使用的是盗版的WINDOWS，那么您也就完全无需对破解PatchGuard产生任何顾虑！

---

注：这种黑客类的软件会被杀毒软件报毒，不放心请勿使用，或者在虚拟机里使用！
作者微博：https://twitter.com/Fyyre

---

请把包含破解工具的文件夹放到C盘（如：c:\no_pg_ds_v3_win7），请勿把文件夹放到含有空格或者中文字符的路径里。

如果破解成功了，会出现类似的界面（WINDOWS启动管理器）：

注意：请选择【PatchGuard Disabled V3】。

---

另请参阅：
WIN64上加载无签名驱动的方法（WIN7/WIN8通用，不破解内核）
Win7x64全自动无提示破解PatchGuard和Driver Signature Enforcement
攻破WIN7~WIN10的KPP和DSE（WIN64内核越狱）
内核路径欺骗

LittlePig

小白鼠来了

LittlePig

……………………:L

LittlePig

我只是不熟悉win7以及64位系统……不方便手杀……哪天搞明白了我就直接甩了这货换Claimwin+主动防御软件（原来XP用SSM……不知道win7可以用不……）

Tesla.Angela

LittlePig 发表于 2011-9-3 16:07
我只是不熟悉win7以及64位系统……不方便手杀……哪天搞明白了我就直接甩了这货换Claimwin+主动防御软件（原 ...

这个只是一个废除PG和随意加载驱动的工具，和主动防御没有任何关系。。。

LittlePig

LittlePig 发表于 2011-9-3 16:07
我只是不熟悉win7以及64位系统……不方便手杀……哪天搞明白了我就直接甩了这货换Claimwin+主动防御软件（原 ...

我是说我就甩了jinshan这货……

testid

顶好帖子！！！！

cwh

这个好东东啊，一直郁闷x64 win7驱动不能加载

watchsky

好东西

x64asm

PAGE:00000001403F4760 SepInitializeCodeIntegrity proc near
PAGE:00000001403F4760
PAGE:00000001403F4760 arg_0           = qword ptr  8
PAGE:00000001403F4760
PAGE:00000001403F4760                 mov     [rsp+arg_0], rbx
PAGE:00000001403F4765                 push    rdi
PAGE:00000001403F4766                 sub     rsp, 20h
PAGE:00000001403F476A                 xor     ebx, ebx
PAGE:00000001403F476C                 cmp     cs:InitIsWinPEMode, bl
PAGE:00000001403F4772                 jnz     loc_1403F480C
PAGE:00000001403F4778                 xor     eax, eax
PAGE:00000001403F477A                 mov     cs:g_CiEnabled, 1
PAGE:00000001403F4781                 lea     edi, [rbx+6]
PAGE:00000001403F4784                 mov     cs:g_CiCallbacks, rax
PAGE:00000001403F478B                 mov     cs:qword_1402266A8, rax
PAGE:00000001403F4792                 mov     cs:qword_1402266B0, rax
PAGE:00000001403F4799                 mov     rax, cs:KeLoaderBlock_0
PAGE:00000001403F47A0                 cmp     rax, rbx
PAGE:00000001403F47A3                 jz      short loc_1403F47F7
PAGE:00000001403F47A5                 cmp     [rax+98h], rbx
PAGE:00000001403F47AC                 jz      short loc_1403F47EE
PAGE:00000001403F47AE                 mov     rcx, [rax+98h]
PAGE:00000001403F47B5                 lea     rdx, aDisable_integr ; "DISABLE_INTEGRITY_CHECKS"
PAGE:00000001403F47BC                 call    SepIsOptionPresent
PAGE:00000001403F47C1                 mov     rcx, cs:KeLoaderBlock_0
PAGE:00000001403F47C8                 lea     rdx, aTestsigning ; "TESTSIGNING"
PAGE:00000001403F47CF                 mov     rcx, [rcx+98h]
PAGE:00000001403F47D6                 cmp     eax, ebx
PAGE:00000001403F47D8                 cmovnz  edi, ebx
PAGE:00000001403F47DB                 call    SepIsOptionPresent
PAGE:00000001403F47E0                 cmp     eax, ebx
PAGE:00000001403F47E2                 mov     rax, cs:KeLoaderBlock_0
PAGE:00000001403F47E9                 jz      short loc_1403F47EE
PAGE:00000001403F47EB                 or      edi, 8
PAGE:00000001403F47EE
PAGE:00000001403F47EE loc_1403F47EE:                          ; CODE XREF: SepInitializeCodeIntegrity+4Cj
PAGE:00000001403F47EE                                         ; SepInitializeCodeIntegrity+89j
PAGE:00000001403F47EE                 cmp     rax, rbx
PAGE:00000001403F47F1                 jz      short loc_1403F47F7
PAGE:00000001403F47F3                 lea     rbx, [rax+30h]
PAGE:00000001403F47F7
PAGE:00000001403F47F7 loc_1403F47F7:                          ; CODE XREF: SepInitializeCodeIntegrity+43j
PAGE:00000001403F47F7                                         ; SepInitializeCodeIntegrity+91j
PAGE:00000001403F47F7                 lea     r8, g_CiCallbacks
PAGE:00000001403F47FE                 mov     rdx, rbx
PAGE:00000001403F4801                 mov     ecx, edi
PAGE:00000001403F4803                 call    CiInitialize_0
PAGE:00000001403F4808                 mov     ebx, eax
PAGE:00000001403F480A                 jmp     short loc_1403F4812
PAGE:00000001403F480C ; ---------------------------------------------------------------------------
PAGE:00000001403F480C
PAGE:00000001403F480C loc_1403F480C:                          ; CODE XREF: SepInitializeCodeIntegrity+12j
PAGE:00000001403F480C                 mov     cs:g_CiEnabled, bl
PAGE:00000001403F4812
PAGE:00000001403F4812 loc_1403F4812:                          ; CODE XREF: SepInitializeCodeIntegrity+AAj
PAGE:00000001403F4812                 mov     eax, ebx
PAGE:00000001403F4814                 mov     rbx, [rsp+28h+arg_0]
PAGE:00000001403F4819                 add     rsp, 20h
PAGE:00000001403F481D                 pop     rdi
PAGE:00000001403F481E                 retn
PAGE:00000001403F481E SepInitializeCodeIntegrity endp



PAGE:00000001403F4772                 jnz     loc_1403F480C

貌似他修改的就是这里吧

Tesla.Angela

x64asm 发表于 2011-12-21 06:57
PAGE:00000001403F4760 SepInitializeCodeIntegrity proc near
PAGE:00000001403F4760
PAGE:00000001403F ...

差不多，最近我正在研究这个工具的源码，不过修改了三个地方！

x64asm

NTOSKRNL.EXE后面附加的数据是PATCH GUARD的
看来在WINDOWS 7 SP1里的PATCH GUARD加强了

Tesla.Angela

x64asm 发表于 2011-12-23 03:32
NTOSKRNL.EXE后面附加的数据是PATCH GUARD的
看来在WINDOWS 7 SP1里的PATCH GUARD加强了

fyyre照样破解了。。。

VIPLZM

呵呵，终于要到隐藏的源码了！

Tesla.Angela

VIPLZM 发表于 2012-1-17 12:47
呵呵，终于要到隐藏的源码了！

这么快吃完饭了。

brodbus

这个论坛很给力哦，就是积分不够啊

opq211211

好东西 支持下 64位的HOOK需要 过patchguard 要不然要蓝屏109错误 驱动有意或无意篡改内核关键代码

wenh7788

我总是从某一些帖子中跳到这里来，不下10次了，没有权限啊啊啊啊啊啊啊

PS
顺便灌水，赚积分。

wenh7788

我晕，光想赚分了。第四个我在真实的机器上测试了。但是我不知道怎么看效果，请指点下好吗？因为我自己的虚拟机不管是调试的还是不调试的都需要我去开启windbg 要不然就卡在那里不动了。
谢谢！

iloveqqp

开发x64必备啊

iloveqqp

开发x64必备啊

魂牵梦萦

注：这种黑客类的软件会被杀毒软件报毒，不放心请勿使用，或者在虚拟机里使用！

ggchen

好东西啊，可惜刚注册还没法下载

Bambo

好东西啊，可惜权限太低，看不到啊。

xxy19804

顶帖子，可以下吗

qianch

好东西，学习~

zhang007z

支持亮的作品，总看黑防的人没有不认识这个人的~

zhang007z

支持！

315215

为了下载，只能更多的回复

wxfmsf

阅读权限小于20可以下载吗