利用Intel VT实现进程保护

最新推荐文章于 2020-11-26 02:25:35 发布
最新推荐文章于 2020-11-26 02:25:35 发布
阅读量9k 收藏 18
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy7002/article/details/71104352
版权

    Intel VT即Intel公司的Virtualization Technology虚拟化技术, 在硬件级别上完成计算机的虚拟化。为实现硬件虚拟化 ,VT增加了12条新的 VMX指令。VT可以让一个CPU工作起来像多个CPU在并行运行,从而使得在一部电脑内同时运行多个操作系统成为可能。在安全领域,利用VT技术,64位系统的防护可以做到跟32位同级别的强度。

一、vt调试方法

1. 修改vmx文件

debugStub.listen.guest32.remote = "TRUE"

debugStub.listen.guest64.remote = "TRUE"

monitor.debugOnStartGuest64 = "TRUE"

debugStub.hideBreakpoints = "TRUE"

bios.bootDelay = "3000"

 

2. 进入虚拟机,系统停住

 

3. 启动64位ida

 

4. 连接端口

 

 

 

 

 

5. 会断在这个地址

 

明显错误的地址,修正地址:

 

 

 

F9继续运行,进入windows,再次暂停,即会断在内核空间。

 

 

6. 加载驱动

 

记录下基址

 

7. ida加载符号

sys和pdb需要放在真实机同一目录

 

 

提示符号加载成功

 

断点可以成功断下

 

 

二、从用户态到内核态

SYSENTER/SYSEXIT指令从 Pentium® II 处理器开始提供的,用于用户级到特权级的堆栈以及指令指针的转换。并有一组特殊寄存器来辅助实现,这类特殊寄存器在IA-32中称为MSR(Model Specific Register)。

MSR是CPU 的一组64位寄存器,可以分别通过RDMSR和WRMSR两条指令进行读和写的操作,前提要在ECX中写入MSR的地址。对于RDMSR指令,将会返回相应的MSR中64bit信息到(EDX:EAX)寄存器中;对于WRMSR 指令,把要写入的信息存入(EDX:EAX)中,执行写指令后,即可将相应的信息存入ECX指定的MSR中。

获取KiFastCalllEntry地址:

_asm

{

   movecx,0x176

   rdmsr

   movKiFastCalllEntryAddr,eax

}

 

 

 

 

三、利用vt实现”ssdt hook”

1. 设置MSR bitmap: 

PUCHARbitMapReadLow = g_Data->MSRBitmap; 

RtlInitializeBitMap(&bitMapReadHighHeader, (PULONG)bitMapReadHigh, 1024 * 8 );

RtlSetBit(&bitMapReadHighHeader, MSR_LSTAR - 0xC0000000 );

__vmx_vmwrite(MSR_BITMAP, MmGetPhysicalAddress( g_Data->MSRBitmap ).QuadPart );

2. 设置vm entry

   __vmx_vmwrite(HOST_RIP, (ULONG_PTR)VmxVMEntry );

2.1 VmxpExitHandler,使用 __vmx_vmread(VM_EXIT_REASON, &FieldData ),获取vm exit reason。

2.2 当为EXIT_REASON_MSR_READ时,根据参数,获取GuestState->GpRegs->Rcx,值为MSR_LSTAR时,将原始LSTAR函数地址写入GuestState->GpRegs->Rax/Rdx中。

 

最后实现的目的: PatchGuard、安全软件等__readmsr( MSR_LSTAR )时,返回给它原始值,用来躲避检测。

 

3. 启动vm

   __vmx_vmlaunch

4. 设置hook函数

发送__vmx_vmcall自定义退出事件,事件处理函数里面用__writemsr( MSR_LSTAR,GuestState->GpRegs->Rdx ),将Kisystemcall_Emulate写入msr寄存器

 

Kisystemcall64_Emulate的写法: 判断index是否为hook的函数,如果不是的话,走原来的Kisystemcall64函数,如果是的话,走KiSystemCall64_Emulate -> KiSystemServiceStart_Emulate->KiSystemServiceRepeat_Emulate

 

 

5. 初始化HookTable

 

 

禁止结束notepad进程。

 

无法结束notepad,且pchunter检测不出”ssdt”被动手脚。

 

 

四、参考文献

1.Linux kerneldebugging with IDA pro and VMware    http://dorgamza.tistory.com/1

2.MinimalisticVT-x hypervisor with hooks   https://github.com/DarthTon/HyperBone

 

qq交流群: 733612635

andy7002
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
进程隐藏学习总结
bcbobo21cn的专栏
05-08 4592
怎么隐藏进程 工具/原料 HideToolz 步骤/方法 1 在百度上面搜索HideToolz ,打开第一个搜索结果,点击进入下载。把HideToolz 下载到你的电脑里面。 2 鼠标双击打开该压缩包,再直接双击该软件即可打开该软件了。并且在软件里面可以看见目前的进程数为多少个。 3 按Ctrl + Alt + . 【启动任务管理器】,在 HideTool
vt r3epthook.zip
05-23
vt 可以无痕hook代码 ,防检测 支持r3
AGP_X64_64VT技术过驱动保护_vt保护_x64驱动_VT_vt保护
09-11
64位VT驱动 自建立调试体系 通杀所有保护 无限断点
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
VT_X64(VT 支持x64的源码).rar_64位进程保护_VT_Vt进程隐藏_vt源码_进程保护
07-15
开启VT保护模式,保护自己的进程不被其它进程访问
进程隐藏与进程保护(SSDT Hook 实现)(一)
weixin_34294649的博客
09-03 340
文章目录:                   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT: 5. SSDT  Hook 原理: 6. 小结:            1. 引子 – Hook 技术:       前面一篇博文呢介绍了代码的注入技术(远程线程实现),博文地址如下: ...
win7vtdb.zip_875_vt过驱动保护_vt驱动保护_win7vtdb_过保护
07-15
开启VT调试,过某xxx游戏驱动保护工程源码
过驱动保护工具(过游戏驱动保护工具)
01-11
过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)
基于Intel-VT处理器的虚拟机内存虚拟化的实现和优化.pdf
09-25
《基于Intel-VT处理器的虚拟机内存虚拟化的实现和优化》 随着计算机性能的不断提升,虚拟计算技术在当今的信息时代显得尤为重要。虚拟机内存虚拟化是虚拟化技术的核心部分,它使得一台物理机器上能够同时运行多个...
VT测试工具&内存释放工具
01-20
VT技术是现代计算机处理器中的一项特性,它允许在一个物理处理器上运行多个虚拟机,提高了计算资源的利用率和效率。而内存释放工具则帮助用户管理计算机内存,提升系统的响应速度和整体性能。 首先,我们来详细了解...
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT保护,VT源代码
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友可以下载来看看,里面有VT完整的安装框架代码,以及用户层MFC工具源代码,中文备注,很多学习vt的朋友可能都没有完整的64位系统的VT完整框架的代码,所以学习的朋友可以下载来看看,有编译好的,也可以自行编译修改,祝大家学习愉快。
2.VT调试器之无限硬件断点.rar
10-20
VT调试器来代替传统的OD调试器
5.为什么用VT调试器来代替OD调试器1.rar
10-20
利用先进的VT调试器来代替传统的OD调试器。
GoodDbg破解版
02-17
GoodDbg破解版 GoodDbg调试器 VT调试器 过所有驱动保护
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1068
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8938
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
[转]过XX游戏驱动保护的代码
weixin_33869377的博客
01-08 758
这个是过TX游戏自我保护驱动的源代码。可以过qq堂、DNF、寻仙等QQ游戏。#include <ntddk.h>#include <windef.h>#include <ntimage.h>#include "Common.h"typedef struct _KAPC_STATE {        LIST_ENTRY ApcListHead[2];      ...
关于vt
海阔天空的专栏
01-04 320
晚上总结 高通最新的release似乎发布了,不过还是要对比一下代码,另外不行的话,接着看mtk的代码吧
进程隐藏与进程保护(SSDT HOOK 实现)
lei35151的专栏
11-04 1377
进程隐藏与进程保护(SSDT HOOK 实现) http://www.cnblogs.com/BoyXiao/archive/2011/09/04/2166596.html 代码注入之远程线程篇 http://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html#2786089
docker实现kvm虚拟化
最新发布
04-12
Docker是一种轻量级的容器化技术,而KVM是一种基于硬件的虚拟化技术。它们之间有一些区别和联系。 Docker实现虚拟化的方式是通过容器化技术,将应用程序及其依赖项打包成一个独立的容器,然后在宿主机上运行。容器与宿主机共享操作系统内核,因此可以实现更高效的资源利用和更快的启动时间。Docker使用的是进程级别的隔离,而不是完全的虚拟化。 而KVM(Kernel-based Virtual Machine)是一种基于硬件的虚拟化技术,它通过在宿主机上创建虚拟机来实现虚拟化。每个虚拟机都有自己的操作系统内核,并且可以运行不同的操作系统。KVM利用了处理器的虚拟化扩展(如IntelVT-x和AMD的AMD-V)来提供硬件级别的隔离和性能。 要在Docker中实现KVM虚拟化,可以使用一些特殊的工具和技术。例如,可以使用QEMU(Quick Emulator)来创建和管理虚拟机,并将其集成到Docker容器中。通过这种方式,可以在Docker容器中运行KVM虚拟机,并获得更高的隔离性和灵活性。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值