thesecretclub/SandboxBootkit
GitHub: thesecretclub/SandboxBootkit
一款针对Windows Sandbox的UEFI引导套件,通过修补内核禁用驱动签名强制和PatchGuard保护机制。
Stars: 325 | Forks: 48
# SandboxBootkit
在 [Windows Sandbox](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview) 上测试的 Bootkit,用于修补 `ntoskrnl.exe` 并禁用 DSE/PatchGuard。有一篇关于其实现细节的[博客文章](https://secret.club/2022/08/29/bootkitting-windows-sandbox.html)。
## 开始使用
- 下载[最新版本](https://github.com/thesecretclub/SandboxBootkit/releases/latest)并解压归档文件
- 运行 `Installer.exe`
- 启动 Windows Sandbox
**注意**:部分发布文件可能会被 Windows Defender 检测为病毒。这属于误报,因此您可能需要添加排除项。
## 故障排除
如果您在 Windows Sandbox 中运行遇到问题,请确保尝试启用开发模式 (`CmDiag DevelopmentMode -On`)。在 Windows 11 上,有报告称如果不启用此模式,更改可能无法应用到 Sandbox。
## 独立 bootkit
您也可以在真实硬件或虚拟机上运行 `SandbotBootkit.efi`(尽管这种情况下您不妨使用 [EfiGuard](https://github.com/Mattiwatti/EfiGuard))。为此,请挂载一个新的(虚拟)磁盘(格式化为 FAT32)并将 `SandboxBootkit.efi` 复制到 `\EFI\Boot\bootx64.efi`。然后更改启动顺序,优先从您的新磁盘启动。相关功能在 `LoadBootManager` 函数中实现。
## 开发
- 克隆项目(包含子模块)
- 使用 `SandboxBootkit.sln` 构建项目
- 查看 `Installer` 项目以了解如何安装 bootkit
**注意**:在开发过程中,最简单的方法是启用开发模式。否则,您将无法写入 `BaseLayer`。
标签:0day挖掘, Bootkit, C/C++, Conpot, DSE, EDKII, GitHub开源, ntoskrnl.exe, PatchGuard, UEFI, UML, Windows安全, Windows沙箱, 事务性I/O, 云资产清单, 免杀技术, 内核安全, 内核补丁, 引导工具包, 暴力破解检测, 系统底层, 虚拟化安全, 逆向工程, 驱动签名强制