PhysPatch 🩹

PhysPatch 执行 物理内存 扫描和 Windows 内核 的补丁。

用法

在名为 "TargetVM" 的虚拟机中搜索 "488b??????????48" 并将 "488b0000" 写入所有匹配项

physpatch -t "TargetVM" -p "488b0000" -- "488b??????????48"

在找到的第一个虚拟机中搜索 "488b?????48"，不执行任何补丁操作

physpatch -- "488b?????48"

有关所有可用参数及其描述，请参阅 physpatch --help

安装

🦀 Cargo

使用 Cargo 是开始使用 PhysPatch 的最简单方法

cargo install physpatch
sudo setcap "CAP_SYS_PTRACE=ep" $(which physpatch)

现在，您可以使用 physpatch 命令启动程序。

🔩 从源代码

git clone https://github.com/sonodima/physpatch && cd physpatch

cargo build --release
sudo setcap "CAP_SYS_PTRACE=ep" target/release/physpatch

编译的二进制文件位于 target/release/physpatch

要求

⚠️ 此工具仅支持 X86_64 客户端系统

CAP_SYS_PTRACE 是在不提升权限的情况下使用此程序所必需的

sudo setcap "CAP_SYS_PTRACE=ep" physpatch

有关更多信息，请参阅 memflow_qemu 的文档

免责声明

PhysPatch 是一个非常强大的工具，使用不当可能导致意外的后果，包括 系统崩溃 和 数据损坏。

在使用 PhysPatch 之前，请确保您完全理解其影响和效果。对您正在搜索的内存结构和模式的适当了解是至关重要的。

与 PhysPatch 相关的人员不对由此工具使用引起的任何损坏、数据丢失或系统损坏承担责任。

值得注意的提及

此项目深受 Hygieia 的启发，Hygieia 是一个扫描工具，用于查找有漏洞的驱动程序的痕迹。