一:修改system32 "ntoskrnl.exe"

1,SeValidateImageData: 修改此函数第二个跳转处代码.

修改前:
PAGE:00000001403A4A58                  mov eax, 0C0000428h
PAGE:00000001403A4A5D                 jmp     loc_140306C71

修改后:
PAGE:00000001403A4A58                 mov     eax, 0          ; 永乐汉化提示:您修改过这里:
PAGE:00000001403A4A58                                                  ;   mov eax, 0C0000428h
PAGE:00000001403A4A5D                 jmp     loc_140306C71

2,KiFilterFiberContext,修改函数开头返回1

修改前:
INIT:0000000140573084                 mov     [rsp+arg_0], rbx
INIT:0000000140573089                 mov     [rsp+arg_8], rbp

修改后:
INIT:0000000140573084                 mov     al, 1         ; 永乐汉化提示:您修改过这里:
INIT:0000000140573084                                             ;   mov [rsp+arg_0], rbx
INIT:0000000140573084                                             ; 填充NOP到下一指令边界: 3 字节
INIT:0000000140573086                 retn                      ; 永乐汉化提示:您修改过这里:
INIT:0000000140573086                                              ;   nop
INIT:0000000140573088                 nop

3,SepInitializeCodeIntegrity

修改前:
PAGE:00000001403F11E7                 lea     r8, g_CiCallbacks
PAGE:00000001403F11EE                 mov     rdx, rbx
PAGE:00000001403F11F1                 mov     ecx, edi
PAGE:00000001403F11F3                 call    CiInitialize_0
PAGE:00000001403F11F8                 mov     ebx, eax
PAGE:00000001403F11FA                 jmp     short loc_1403F1202

修改后:
PAGE:00000001403F11E7                 lea     r8, g_CiCallbacks
PAGE:00000001403F11EE                 mov     rdx, rbx
PAGE:00000001403F11F1                 xor     ecx, ecx        ; 永乐汉化提示:您修改过这里:
PAGE:00000001403F11F3                 call    CiInitialize_0
PAGE:00000001403F11F8                 mov     ebx, eax
PAGE:00000001403F11FA                 jmp     short loc_1403F1202
PAGE:00000001403F11EE                 mov     rdx, rbx

4,KeInitAmd64SpecificState 修改函数开头返回0

修改前:
INIT:0000000140578C00                 sub     rsp, 28h
INIT:0000000140578C04                 movzx   edx, byte ptr cs:KdDebuggerNotPresent

修改后:
INIT:0000000140578C00                 xor     eax, eax        ; 永乐汉化提示:您修改过这里:
INIT:0000000140578C00                                         ;   sub rsp, 28h
INIT:0000000140578C00                                         ; 填充NOP到下一指令边界: 2 字节
INIT:0000000140578C02                 retn                    ; 永乐汉化提示:您修改过这里:
INIT:0000000140578C04                 movzx   edx, byte ptr cs:KdDebuggerNotPresent

二:修改system32 "winload.exe"

1,ImgpValidateImageHash 修改函数开头返回0

修改前:
.text:0000000000431F44                 mov     rax, rsp
.text:0000000000431F47                 mov     [rax+8], rbx

修改后:
.text:0000000000431F44                 xor     eax, eax        ; 永乐汉化提示:您修改过这里:
.text:0000000000431F44                                                ;   mov rax, rsp
.text:0000000000431F46                 retn                       ; 永乐汉化提示:您修改过这里:
.text:0000000000431F47                 mov     [rax+8], rbx

2,BlImgQueryCodeIntegrityBootOptions 修改函数开头返回1

修改前:
.text:0000000000430E30                 mov     [rsp+arg_8], rbx
.text:0000000000430E35                 push    rdi

修改后:
.text:0000000000430E30                 mov     al, 1           ; 永乐汉化提示:您修改过这里:
.text:0000000000430E30                                             ;   mov [rsp+arg_8], rbx
.text:0000000000430E32                 retn                      ; 永乐汉化提示:您修改过这里:
.text:0000000000430E33                 nop
.text:0000000000430E34                 nop
.text:0000000000430E35                 push    rdi

IDA修改完后,-编辑->修补程序->修补程序应用到输出文件.然后再修改文件校验和.

Win7 64位静态过PG,文件修改记录,备忘相关推荐

  1. win7 64位 system32和syswow64文件夹

    \Windows\SysWOW64  文件夹下存放32位的库和应用程序 (WOW64 == Windows on Windows 64 bit ) \Windows\System32  文件夹下存放6 ...

  2. 更改win7 64位系统调用IE时,默认64位IE的方法

    某软件调用IE时,默认调用了64位的IE,改注册表都不生效,只能将原来的Internet Explorer文件夹改名为Internet Explorer 64 ,然后把Program FIles (x ...

  3. Glew 配置 win7 64位 注意

    首先说明两个文件夹SysWOW64和System32: 1.在win764位系统中,System32是给64位用的(即:正常的.就像win732位系统中System32的作用一样): 2.而SysWO ...

  4. win7 64位系统 c#无法利用OleDbConnection打开扩展名为xlsx的excel文件

    一.运行环境 win7 64位系统 office 2007,只有32位 vs2010 C# 使用OLEDB读取excel 二.相关代码及错误现象 // 默认读取.xls文件 string strCon ...

  5. win7纯净版64位系统把exe文件注册成为系统服务的方法

    现在很多的程序服务都是以客户端的形式存在的,就是这样广大win7系统用户不得不在电脑里面安装这些客户端.每次开机的时候我们都要先启动客户端,接着进入相应的文件夹,很麻烦.那么有没有更方便的办法呢?其实 ...

  6. win7 64安装oracle10g 客户端,关于win7 64位 只 安装 oracle 10g的client

    我的电脑是win7 64位旗舰版 我下载了  10201_client_win32 和 102010_win64_x64_client 安装的时候 路径 不要 默认安装到program files 因 ...

  7. Win7 64位系统 注册 ocx控件

    32位系统注册ocx就不谈了.网上一搜一大把.下面说下win7 64位 旗舰版下如果注册ocx控件 1.首先复制 XXXX.OCX文件到"C:\Windows\SysWOW64"目 ...

  8. win7 64位系统oracle客户端访问远程数据库

    今天将win7 64位系统oracle客户端访问远程数据库配置成功,由于我用的是64位的win7操作系统,在网上查了很多资料都说在64位系统下oracle客户端配置很复杂,于是自己亲手试了一下成功了, ...

  9. 解决win7 64位无法进入debug的问题

    在Win7 64位系统下想使用Debug工具,在cmd之后发现debug不是内部命令,这是因为系统本身不带Debug工具,我们可以通过DOS 和 Win7 32位的Debug来实现. 1.下载DOSB ...

最新文章

  1. Android定制:修改开机启动画面
  2. 关于网页显示乱码问题的一些个人见解(PHP、JSP...)
  3. 从syslinux源码定制LiveUSB
  4. 用PQ的Windows版完成分区的一些调整工作
  5. java两个很大的数相加_两个超大数的相加
  6. C++ 重载机制实现原理
  7. Python教程:Python如何实现穷举搜索?
  8. pat 乙级 1021 个位数统计(C++)
  9. [C入门 - 游戏编程系列] 贪吃蛇篇(一) - 世界定义
  10. HAOI2011 Problem b 洛谷P2522
  11. php中array_merge函数
  12. mysql默认编码改为gbk_如何设置Mysql数据库默认的字符集编码为GBK
  13. 苏州计算机应用能力中级办公自动化,苏州市计算机应用能力考核(中级-办公自动化)新系统使用..doc_人人文库网...
  14. 拓扑排序算法(1.0版)
  15. [转载]基于Servlet的Google Earth之旅
  16. 解决真机识别为虚拟机,Sorry, this application cannot be run under a Virtual Machine
  17. GBase 8a 的日志管理1-备份恢复日志、重分布日志、审计日志
  18. maven 和jetty 绝配
  19. oj 喵帕斯之天才算数少女
  20. 使用Office Tool Plus下载Office和Visio

热门文章

  1. 实现小说自由,国产浏览器出手了,吊打各类阅读软件
  2. css图片放大缩小动画
  3. Emacs: Failed to verify signature archive-contents.sig或gpg: 无法检查签名:没有公钥
  4. 【C4D周练作业031-040】周练作业渲染了个奥特曼哈哈~
  5. 某些排序问题中元素大小比较的化简以及传递性证明
  6. 中兴盒子B860AV1.1-T2版刷公版固件教程
  7. 【表白程序】盛开的玫瑰代码
  8. pip:指定多个源/内部源
  9. 深切悼念JAVA培训界第一人张孝祥老师意外辞世
  10. java poi导出Excel表,合并单元格