攻破WIN7~WIN10的KPP和DSE(WIN64内核越狱)【已支持WIN10-15063】

xingyun86 2017-8-10 4571


最新消息:
1.静态(重启)内核越狱,支持WIN7~WIN10(7600~15063),包括所有小版本!
2.WIN7X64有静态(重启)和动态(不重启)两种方式实现内核越狱,以及可选择是否过DSE!
3.如果只是为了HOOK (S)SSDT,那完全可以使用VT方案!不需要重启,不干扰KPP和DSE的正常工作!
4.如果只是为了加载无签名驱动,那么无需搞大动作进行内核越狱,解决方案见“WIN64免签名加载驱动SDK”

本帖有隐藏内容,请您回复后查看。

本帖有隐藏内容,请您回复后查看。

名词解释:
1.KPP:内核保护机制之一,它会循环检查几个重要驱动的数据段和代码段是否被修改,如果发现,则引发0x109蓝屏。
2.DSE:内核保护机制之二,中文名称“驱动签名强制”,禁止加载不包含正确签名的驱动。
3.内核路径欺骗:本人自创词,意为把当前内核文件的路径指向原始(未破解过的)内核文件。防止标志性检测。

破解过程:
1.给WINLOAD.EXE(或WINLOAD.EFI,根据系统启动类型而定)和NTOSKRNL.EXE打补丁。
2.添加内核启动项和一个BOOT驱动(用于“关闭DSE”和“内核路径欺骗”)。
3.重启计算机。

具体用途:
1.恶意程序(例如著名的TDL4系列ROOTKIT就对WIN7X64实现了“内核越狱”)。
2.外挂/反外挂(国内某知名游戏保护和某知名变速软件在无VT的WIN64系统上进行了“内核越狱”以实现更强的功能)。

测试方法:
目前在多台BIOS+MBR或UEFI+GPT的电脑上测试没问题(修改NTOSKRNL.EXE、CI.DLL等敏感驱动多个字节,包括SSDT HOOK、INLINE HOOK等多个明显违规的操作,经过24个小时不蓝屏不死机),但在开启了secure boot的电脑上无法启动。原因很简单,打补丁时把WINLOAD的签名给破坏了。遇到这种情况,必须在BIOS选项里关闭secure boot。

录像截图:
WIN8和WIN8.1:http://www.m5home.com/ta/fuckpg92009600.gif
WIN10:http://www.m5home.com/bbs/data/a ... j9h1t6ptl1h1slt.png

免费获取:
先去下载最新版的WIN64AST,该功能在『ROOTKIT FUNCTIONS』窗口的『DISABLE PATCHGUARD』选项卡里(免费版暂时只支持WIN7~WIN8.1,WIN8和WIN8.1只支持RTM版本)。独立版本请联系本人购买,联系方式见本帖顶端

常见问答:
Q:需要重启才生效吗?是否支持UEFI+GPT的系统?
A:重启一次,永久生效(当然也可以卸载),没有第三方程序常驻内存(第三方驱动干完事情后自行卸载)。支持UEFI+GPT的系统,但不支持开启了secure boot的情况(原因见上文)。
======
Q:升级后(用WINDOWS UPDATE打补丁后)还能用吗?
A:可以。本方法的优点就是基本不受打补丁的影响,一次“越狱”永久生效。当然考虑到某些极端的意外情况,把WINDOWS UPDATE关了自然更好。
======
Q:为何使用驱动而不是直接使用PATCH内核文件的方法攻破DSE?
A:防止特征性检测。有的软件通过尝试加载一个无签名的驱动程序来判断内核是否破解(如果加载失败则证明内核没被越狱,加载成功则证明内核越狱了)。本破解程序是对DSE的破解是『可选』的,即可以选择破解或不破解。
======
Q:跟某些号称不重启动态攻破PatchGuard的方法有什么不同?
A:动态攻破PatchGuard唯一的好处就是不用重启一次。但程序需要大量硬编码,用WINDOWS UPDATE打一次补丁即可能让硬编码发生剧变(从而导致写好的破解程序失效,通常后果就是蓝屏)。如果通过下载符号文件获得硬编码,则至少在第一次使用时必须联网才行。动态攻破PatchGuard的程序需要常驻内存(需要一直HOOK住某些内核API),存在潜在的不稳定因素(如果过滤函数写得不严谨,可以通过构造特殊参数并调用被HOOK函数达到导致蓝屏的效果),同时容易成为检测(过PATCHGUARD的)标志物。

×
打赏作者
最新回复 (5)
查看全部
全部楼主
返回