Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 748
- Реакции
- 19
Мелкомягкие продолжают закручивать гайки в ядре. На свежих билдах Windows 11 (24H2 и тем более 25H2) классические методы патчинга DSE превращаются в настоящий квест.
Суть проблемы
IDA Pro на данный момент отказывается адекватно переваривать ядро билда 25H2, так что приходится упарываться в динамический анализ. Даже с учетом обфускации, через кастомные тулзы удается вытянуть почти все нужные XREF/DATA рефы для сигнатур.
Главный затык сейчас — CI!g_CiOptions. Раньше мы просто писали туда нужные значения, теперь же PTE (Page Table Entry) для этой области защищен от записи на уровне системы. Попытка принудительно флипнуть флаги в RW и дропнуть туда ноль дает результат, но ненадолго. Примерно через 6 часов стабильно прилетает BSOD от PatchGuard.
Техническое мясо
В общем, метод рабочий, но без PG-байпаса на постоянку систему не оставить. Кто уже плотно ковырял последние билды, какие мысли по обходу защиты PTE без триггера PatchGuard?
Суть проблемы
IDA Pro на данный момент отказывается адекватно переваривать ядро билда 25H2, так что приходится упарываться в динамический анализ. Даже с учетом обфускации, через кастомные тулзы удается вытянуть почти все нужные XREF/DATA рефы для сигнатур.
Главный затык сейчас — CI!g_CiOptions. Раньше мы просто писали туда нужные значения, теперь же PTE (Page Table Entry) для этой области защищен от записи на уровне системы. Попытка принудительно флипнуть флаги в RW и дропнуть туда ноль дает результат, но ненадолго. Примерно через 6 часов стабильно прилетает BSOD от PatchGuard.
Техническое мясо
- DSE патчится, неподписанные драйверы залетают, но PG не спит.
- Защита на уровне PTE — это не шутки, на реальном железе обходится сложнее, чем в виртуалках.
- Для стабильной работы нужен комплексный подход: обход DSE + подавление PatchGuard (PG bypass).
Если планируете копать 25H2, готовьтесь к тому, что старые скрипты могут отвалиться. Юзайте динамику, чтобы найти линки на g_CiOptions. Просто копипастить код из старых сурсов уже не выйдет — Windows internals меняются слишком быстро, и порог входа растет.
В общем, метод рабочий, но без PG-байпаса на постоянку систему не оставить. Кто уже плотно ковырял последние билды, какие мысли по обходу защиты PTE без триггера PatchGuard?