探索隐形调试艺术:VivienneVMM——新一代的Intel VT-x虚拟机监控框架

于 2024-05-18 09:37:46 发布
阅读量323 收藏 4
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00018/article/details/139018052
版权

探索隐形调试艺术:VivienneVMM——新一代的Intel VT-x虚拟机监控框架

VivienneVMM,一个基于Intel VT-x技术的隐形调试框架,由tandasatHyperPlatform延伸而来,让内核级别的调试工作更加隐蔽且高效。这个强大的工具集让你能够设置、清除和检查隐藏在虚拟机管理器(VMM)后的断点,从而实现对目标程序行为的无痕监视。

项目亮点

  • 隐形断点:通过使用Intel VT-x扩展页表(EPT),VivienneVMM提供的断点对目标进程不可见,避开了反调试检测。
  • Ept断点管理器:支持无限数量的Ept断点,允许你追踪执行和数据操作,同时提供详细的事件记录。
  • 硬件断点管理器:为快速调试提供了另一种选择,虽然受到某些特定限制,但速度更快。
  • VivienneCL命令行接口:提供了丰富的控制和查询选项,如查看进程信息、设置Ept断点、检查断点日志等。

技术解析

Ept断点与断点控制经理

VivienneVMM的核心是两个断点控制模块,它们各自实现了不同类型的断点:

  • Ept断点管理器 利用EPT来创建不可见的断点,可处理执行和数据断点,且不受限制的数量意味着你可以更深入地探索目标程序的执行路径。
  • 硬件断点管理器 则依赖于硬件调试寄存器,提供更快的响应,但可能会被一些高级的反调试策略发现。

Ept断点与日志系统

每个Ept断点都有与其关联的日志,用于记录断点触发时的信息。有三种日志类型供你选择:

  • 基础型 记录触发断点的地址及其命中次数。
  • 通用寄存器上下文 在每次断点触发时捕获通用寄存器的状态。
  • 键控寄存器上下文 类似于通用类型,但只在键控寄存器值变化时记录状态。

这些日志系统可以用于深入了解目标代码的行为模式,例如在解密过程中恢复原始数据。

应用场景

VivienneVMM适用于各种复杂的内核级调试任务,如:

  • 恶意软件分析:隐秘地跟踪恶意软件的活动,揭示其行为模式。
  • 系统漏洞研究:辅助定位和理解可能导致安全问题的代码段。
  • 软件性能优化:监控关键代码路径以改进效率。

为什么选择VivienneVMM?

  • 灵活性:两个独特的断点管理器,适应不同的调试需求。
  • 透明性:Ept断点对目标进程完全不可见,避免了被调试检测发现。
  • 强大日志功能:详尽的日志记录可以帮助你理解复杂的系统行为。
  • 易用性:VivienneCL界面友好,命令短小精悍,易于理解和操作。

加入VivienneVMM的世界,让您的内核调试体验达到新的高度。立即查看项目GitHub页面获取更多详细信息,并开始你的探索之旅!

张姿桃Erwin
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
A Survey on Metaverse: the State-of-the-art,Technologies, Applications, and Challenges
c_cpp_csharp的专栏
10-19 1216
元宇宙是一种新型的互联网应用和社交形式,它集成了多种新技术。它具有多技术性、社会性和超时空性的特点。本文介绍了元宇宙的发展现状,从网络基础设施、管理技术、基本公共技术、虚拟现实对象连接和虚拟现实融合五个方面介绍了元宇宙的技术框架。本文还介绍了元宇宙的社会性和超时空性的性质,并讨论了元宇宙的第一个应用领域以及它可能面临的一些问题和挑战。
[Rootkit] 无痕 hook - 硬件断点
墨鱼菜鸡
06-10 610
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hoo...
3.基于IntelVt技术的Linux内核调试器- 调试器设计与实现(1):基本框架
陈莉君的专栏
09-20 4174
本内核调试器拥有如下几个主要模块:虚拟化框架调试框架)、接口模块、反汇编引擎、键盘驱动模块、符号表模块、调试控制台模块等。以下内容为各个模块的设计与实现。 3.1虚拟化框架 虚拟化框架实现的主要功能就是创建一个虚拟CPU,并将在当前物理CPU上运行的操作系统转移到虚拟CPU上,而调试器则运行在当前CPU上。实际上就是CPU控制权的转移,或者说是CPU上下文的转移。 这样在虚拟CPU
VT_demo 编译修复_反调试_DEMO_VT_demo_VT_自建调试体系_
09-29
基于VT技术的自建调试体系框架
VT虚拟化框架编写
鬼手的博客
02-11 5340
学习VT相关的知识,需要具备WIN32基础和内核相关的知识,包括Windows段机制,页机制等等,VT里面都会有所涉及,也就是得把Windows编程和驱动基本通关,新手建议劝退。整个VT的知识结构有大量的新的概念,新的寄存器,新的指令还有各种标志位,初次学习VT建议结合代码来理解相关的理论基础,重点在于梳理整个VT的流程,不要深究具体的某个细节。整个流程走完之后就有了阅读别人代码的能力,等实际应用的时候再去查阅相关资料补齐技术细节的部分。我的笔记,很多能省的基本都省掉了,只把整体必须的流程整理出来。
linux调试器的实现---主要框架
darmao的博客
11-14 386
准备知识主要用的知识点:ptrace,关于ptrace不太了解的同学可以先看看这两篇文章: 玩转ptrace1:https://www.cnblogs.com/catch/p/3476280.html 玩转ptrace2:http://blog.csdn.net/code09/article/details/6093363首先运行我们的调试器调试器作为父进程,fork一个子进程,在子进程中先t
滴水单机VT调试器 你懂的
11-27
滴水单机VT调试器 不可多得。 你懂的不可多得。 你懂的不可多得。 你懂的
VivienneVMM是通过英特尔VT-x虚拟机管理程序实现的隐形调试框架。-C/C++开发
05-26
VivienneVMM VivienneVMM是通过英特尔VT-x虚拟机管理程序实现的隐形调试框架。 该驱动程序公开了一个硬件断点控制接口,该接口允许用户模式客户端设置和清除断点。 这些VivienneVMM VivienneVMM是通过Intel VT-x...
cpp-VivienneVMM是一个通过英特尔VTx虚拟机管理程序实现的隐形调试框架
08-15
VivienneVMM是一个专为C++编程语言设计的虚拟机管理程序(VMM),它利用了英特尔的VT-x技术来实现高效的隐形调试框架VT-x是英特尔在处理器中集成的一种硬件虚拟化技术,旨在提高虚拟机的性能并增强系统的安全性。...
科创板中期投资策略:多维寻找隐形冠军-0816-银河证券-24页.pdf
最新发布
07-26
科创板中期投资策略:多维寻找隐形冠军 科创板中期投资策略是当前投资市场的热点话题,本报告提供了多维寻找隐形冠军的策略,旨在帮助投资者更好地理解科创板的投资机会和风险。 科创板截至 2019 年 8 月 16 日...
(vt) 无限硬件中断的代码实现
walker的博客
05-06 664
在学习vt时了解到无限硬件断点技术,即不依赖于dr寄存器实现硬件断点。由于硬件断点依赖于调试寄存器 dr0-dr3,这就意味着只能设置4个硬件断点。
VT调试器 X64
落笔飞花笑百生的博客
12-30 7856
想了很久还是发上来吧,烂在硬盘里面没用,共享既是进步~ 前排感谢在我学习Intel-VT技术困难的时候各位朋友的帮助 Tesla.Angela 有人吗? cvcvxk viphack sxpp Kalong 以及国外友人asamy 以上排名不分先后 这份代码在WIN7 64 打了补丁的情况下能正常工作 不打补丁需要对THREAD的结构体做个修改 才可以正常运行 代码部分: 这
vt驱动入门教程22课 2019年1月 硬件虚拟化
07-14 1746
1.内核VT虚拟化技术简介.zip 2.Win10+VS2017+WDK10的安装.zip 3.Win10内核双机调试环境搭建.zip 4.内核程序开发基础入门.zip 5.开启VMware虚拟化与VT基本原理.zip 6.侵染多核CPU的DPC回调安装.zip 7.检测CPU对VT虚拟化的支持情况.zip 8.初始化VMX与VMCS的非分页内存.zip 9.内存对齐与VMCS第1...
4.软件断点
My classmates
11-03 1932
调试的本质: 想办法让被调试程序触发异常 触发异常后就会向DEBUG_OBJECT里发送调试事件 调试器接管异常的过程 一般调试器都会有软件断点,内存断点,硬件断点… 其实这些无非就是想让被调试程序触发异常再让调试器来接管。 在OD中随便一个地址按下F2后程序执行到那就会被断下来,这时调试器将会拥有被调试程序的控制权,这个过程我们称为“中断到调试器”。 当我们在OD中按下F2其实就是将那个地...
基于处理器调试机制的Rootkit隐形技术
11-20 1306
 本文将向读者介绍一种通过处理器的调试机制来实现Rootkit的隐形的技术。这种技术的特点是,无需利用系统的缺陷,直接处理器的正常功能就能达到隐形的目的。本文将以Linux系统为例来介绍如何实现基于调试寄存器的隐形方法。  一、概述  几年来,用于在攻陷的机器上实现隐形技术和方法越来越多,让人目不暇接。其中,有一些直接篡改系统调用表,有一些修改中断处理程序,凡此种种,在此不再一一列举。不过,这些方
显示隐藏文件 + 断点打印调试
weixin_30507481的博客
05-03 58
1.显示隐藏文件夹显示:defaults write com.apple.finder AppleShowAllFiles -bool true隐藏:defaults write com.apple.finder AppleShowAllFiles -bool false 2.断点调试 设置断点 目标行运行后在控制台输入 po 加 要打印的对象 然后回车 转载于:http...
软件调试之软件断点
maomao171314的专栏
11-17 1932
软件断点 INT 3 指令,即通常所说的“软件断点”,一条X86系列处理器专门用于支持调试的指令。该指令目的是使CPU中断(break)到调试器,供调试器对执行现场进行各种分析。 INT 3 Visual C++ 嵌入内联汇编指令,示例如下: VS没有下断点,程序会自动断在INT 3 指令所在的位置。这正是通过注入代码手工设置断点的方法。 反汇编窗口如下: 内存地址002719CE 处有INT 3 指令。 打开寄存器窗口,EIP=002719CE INT 3属于陷阱异..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张姿桃Erwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值