EP_X0FF和Fyyre已開源

https://github.com/hfiref0x/UPGDSED

=============================================================

最新狀態(tài)：已放棄Win7.Win8,8.1的靜態(tài)Patch,專注于Win10 PatchGuard.

1.重啟內(nèi)核越獄,支持Win7~Win10
Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版)
Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新)
Win7 6.1.7601.17727 ~ 6.1.7601.23455(已停止更新)
2.動(dòng)態(tài)越獄,支持Win7 ~ Win8.1 (無Win8.0) (已停止更新)
3.如果作用于HOOK,那么完全可以使用VT方案
本人已實(shí)現(xiàn)HOOK框架,僅支持Intel處理器,支持Win7 ~ Win10
4.如果僅是為了免簽名加載驅(qū)動(dòng)
4.1如果你是作用于Win7 ~ Win8.1 可以直接使用吊銷的驅(qū)動(dòng)簽名
http://bbs.pediy.com/showthread.php?t=187925&highlight=%E5%90%8A%E9%94%80
4.2如果你是作用于Win10 那么可以購買“0Day”漏洞(微軟漏洞)或某廠商漏洞驅(qū)動(dòng)
0Day漏洞：任意地址寫任意數(shù)據(jù)
廠商漏洞：任意執(zhí)行,任意讀寫（Capmon.sys）
4.3利用0Day已實(shí)現(xiàn)功能：加載一個(gè)Boot驅(qū)動(dòng)(此驅(qū)動(dòng)可自己實(shí)現(xiàn)),此驅(qū)動(dòng)目前功能有破DES加載驅(qū)動(dòng),保護(hù)進(jìn)程,注冊表,進(jìn)程隱藏,進(jìn)程偽裝(過主流ARK),驅(qū)動(dòng)隱藏(過主流ARK),驅(qū)動(dòng)偽裝(過主流ARK).
4.4直接購買WIN64免簽名加載SDK(非漏洞,正規(guī)簽名聯(lián)系QQ 1923208126購買)

注意事項(xiàng)：
1.程序根據(jù)內(nèi)核文件版本號(比如10.0.14939.187)進(jìn)行Patch，已支持10.0.14939.x任意版本
如需14939以下的版本,需先提供原始文件.(目前主要致力于14939版本，其它版本在完善中)
2.不接受非正式版的Patch
3.帶有secure boot的機(jī)器不支持.需關(guān)閉secure boot.

實(shí)現(xiàn)功能：
1.動(dòng)態(tài)Patch Dse.采用動(dòng)態(tài)Patch Dse是因?yàn)榉乐固卣鳈z測.工具會啟動(dòng)一個(gè)驅(qū)動(dòng)駐留系統(tǒng)(干完活后可卸載),當(dāng)你需要加載驅(qū)動(dòng)時(shí)調(diào)用接口即可.(僅在你加載驅(qū)動(dòng)時(shí)PatchDse)
2.基于文件系統(tǒng)的保護(hù),防止驅(qū)動(dòng)被DUMP,上傳.
3.自身檢查某些驅(qū)動(dòng)簽名,防止某些惡心的xx加載無簽名驅(qū)動(dòng)試探DSE(此功能僅在選擇靜態(tài)Patch Dse時(shí)有效)，hook了獲取DSE狀態(tài)的函數(shù)(可關(guān)閉).
4.你來提需求

名詞解釋：
1.KPP：內(nèi)核保護(hù)機(jī)制之一,它會循環(huán)檢查幾個(gè)重要驅(qū)動(dòng)數(shù)據(jù)段和代碼段釋放被修改,如果被修改,則觸發(fā)0x109藍(lán)屏
2.DSE：內(nèi)核保護(hù)機(jī)制之二,驅(qū)動(dòng)簽名強(qiáng)制,禁止加載不正確簽名的驅(qū)動(dòng)

具體用途：
1.惡意程序
2.外掛/反外掛
3.更詳細(xì)的監(jiān)控APP
4.免簽名加載驅(qū)動(dòng)

測試結(jié)果：
在BIOS+MBR或UEFI+GPT的電腦上測試沒問題(SSDT HOOK INLINEHOOK等多個(gè)明顯違規(guī)行為,經(jīng)過24小時(shí)不藍(lán)屏不死機(jī))
但在開啟了secure boot的電腦上無法啟動(dòng).
原因是secure boot會檢查winload的簽名，遇到這種情況,必須在BIOS中關(guān)閉secure boot

免費(fèi)獲取：
免費(fèi)版只支持Win7 ~ Win8.1
下載WIN64AST工具,在RootKit Functions窗口DISABLE PATCHGUARD選項(xiàng)卡中操作即可（靜態(tài)）

常見問答：
Q：需要重啟？支持UEFI+GPT的系統(tǒng)？
A：重啟一次，永久生效（可卸載）,支持UEFI+GPT系統(tǒng),但不支持開啟了secure boot

Q：用windows update打補(bǔ)丁后還能用嗎？
A：如果是跨NT版本升級不支持(比如Win7升Win10).但如果是小版本更新支持.最好把Windows update關(guān)閉.
另外,本工具持續(xù)更新,一般新的版本出來2天內(nèi)即可完成破解.

Q：如何獲取版本號？
A：工具會顯示當(dāng)前系統(tǒng)的版本號,如果要自己確定,可以找到Windowns/System32目錄下的ntoskrnl.exe(ntkrnlmp.exe) 右鍵-屬性-詳細(xì)信息-文件版本
如果文件版本號低于或等于工具支持的版本號,則可以進(jìn)行破解
否則,請等待2-3天或直接聯(lián)系我(30分鐘)

格式抄襲了Tesla.Angela,見諒哈哈

http://www.m5home.com/bbs/thread-7870-1-1.html
---------------------?
作者：豬會被殺掉?
原文：https://blog.csdn.net/zhuhuibeishadiao/article/details/54410029?
?

總結(jié)

以上是生活随笔為你收集整理的攻破Win7~Win10 PatchGuard(KPP DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。