Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 21 Июн 2025
- Сообщения
- 30
- Реакции
- 2
В ядре Windows есть системы защиты ядра, такие как:PatchGuard, DSE.
PG — Следит за изменением кода на уровне ядра, в целом следит за целостностью ядра.
DSE же в свою очередь проверяет, имеет ли драйвер подпись, если нет — угроза для системы.
Но, DSE можно обойти путем скачивания чужого легального драйвера с подписью, и уже использовать его, так что по большей части мой вопрос будет про PG.
У меня есть свой, само-написанный на ассемблере простой руткит.
Я вот думаю, могу ли я обойти PatchGuard.
Сперва были мысли просто попытаться отключить, но это вызвало бы KeBugCheckEx и я бы получил синий экран.
Моя цель проста: Обойти PatchGuard, пропатчить руткит в системный драйвер, в главную функцию DriverEntry, чтобы сначала начинал работу руткит, а после уже сам системный драйвер. Есть идеи как это можно реализовать(именно обход)?
В случае если не получится обойти PG, есть ли шанс того что он не заметит что в главной функции драйвера вписано не то что он ожидает?
PG — Следит за изменением кода на уровне ядра, в целом следит за целостностью ядра.
DSE же в свою очередь проверяет, имеет ли драйвер подпись, если нет — угроза для системы.
Но, DSE можно обойти путем скачивания чужого легального драйвера с подписью, и уже использовать его, так что по большей части мой вопрос будет про PG.
У меня есть свой, само-написанный на ассемблере простой руткит.
Я вот думаю, могу ли я обойти PatchGuard.
Сперва были мысли просто попытаться отключить, но это вызвало бы KeBugCheckEx и я бы получил синий экран.
Моя цель проста: Обойти PatchGuard, пропатчить руткит в системный драйвер, в главную функцию DriverEntry, чтобы сначала начинал работу руткит, а после уже сам системный драйвер. Есть идеи как это можно реализовать(именно обход)?
В случае если не получится обойти PG, есть ли шанс того что он не заметит что в главной функции драйвера вписано не то что он ожидает?
Последнее редактирование:
