攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/zhuhuibeishadiao/article/details/54410029

EP_X0FF和Fyyre已开源

https://github.com/hfiref0x/UPGDSED

=============================================================

最新状态：已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard.

1.重启内核越狱,支持Win7~Win10
Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版)
Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新)
Win7 6.1.7601.17727 ~ 6.1.7601.23455(已停止更新)
2.动态越狱,支持Win7 ~ Win8.1 (无Win8.0) (已停止更新)
3.如果作用于HOOK,那么完全可以使用VT方案
本人已实现HOOK框架,仅支持Intel处理器,支持Win7 ~ Win10
4.如果仅是为了免签名加载驱动
4.1如果你是作用于Win7 ~ Win8.1 可以直接使用吊销的驱动签名
http://bbs.pediy.com/showthread.php?t=187925&highlight=%E5%90%8A%E9%94%80
4.2如果你是作用于Win10 那么可以购买“0Day”漏洞(微软漏洞)或某厂商漏洞驱动
0Day漏洞：任意地址写任意数据
厂商漏洞：任意执行,任意读写（Capmon.sys）
4.3利用0Day已实现功能：加载一个Boot驱动(此驱动可自己实现),此驱动目前功能有破DES加载驱动,保护进程,注册表,进程隐藏,进程伪装(过主流ARK),驱动隐藏(过主流ARK),驱动伪装(过主流ARK).
4.4直接购买WIN64免签名加载SDK(非漏洞,正规签名联系QQ 1923208126购买)


注意事项：
1.程序根据内核文件版本号(比如10.0.14939.187)进行Patch，已支持10.0.14939.x任意版本
如需14939以下的版本,需先提供原始文件.(目前主要致力于14939版本，其它版本在完善中)
2.不接受非正式版的Patch
3.带有secure boot的机器不支持.需关闭secure boot.


实现功能：
1.动态Patch Dse.采用动态Patch Dse是因为防止特征检测.工具会启动一个驱动驻留系统(干完活后可卸载),当你需要加载驱动时调用接口即可.(仅在你加载驱动时PatchDse)
2.基于文件系统的保护,防止驱动被DUMP,上传.
3.自身检查某些驱动签名,防止某些恶心的xx加载无签名驱动试探DSE(此功能仅在选择静态Patch Dse时有效)，hook了获取DSE状态的函数(可关闭).
4.你来提需求


名词解释：
1.KPP：内核保护机制之一,它会循环检查几个重要驱动数据段和代码段释放被修改,如果被修改,则触发0x109蓝屏
2.DSE：内核保护机制之二,驱动签名强制,禁止加载不正确签名的驱动


具体用途：
1.恶意程序
2.外挂/反外挂
3.更详细的监控APP
4.免签名加载驱动


测试结果：
在BIOS+MBR或UEFI+GPT的电脑上测试没问题(SSDT HOOK INLINEHOOK等多个明显违规行为,经过24小时不蓝屏不死机)
但在开启了secure boot的电脑上无法启动.
原因是secure boot会检查winload的签名，遇到这种情况,必须在BIOS中关闭secure boot


免费获取：
免费版只支持Win7 ~ Win8.1
下载WIN64AST工具,在RootKit Functions窗口DISABLE PATCHGUARD选项卡中操作即可（静态）


常见问答：
Q：需要重启？支持UEFI+GPT的系统？
A：重启一次，永久生效（可卸载）,支持UEFI+GPT系统,但不支持开启了secure boot


Q：用windows update打补丁后还能用吗？
A：如果是跨NT版本升级不支持(比如Win7升Win10).但如果是小版本更新支持.最好把Windows update关闭.
另外,本工具持续更新,一般新的版本出来2天内即可完成破解.


Q：如何获取版本号？
A：工具会显示当前系统的版本号,如果要自己确定,可以找到Windowns/System32目录下的ntoskrnl.exe(ntkrnlmp.exe) 右键-属性-详细信息-文件版本
如果文件版本号低于或等于工具支持的版本号,则可以进行破解

否则,请等待2-3天或直接联系我(30分钟)

格式抄袭了Tesla.Angela,见谅哈哈

http://www.m5home.com/bbs/thread-7870-1-1.html