VT Msr Hook Syscall

已于 2023-02-28 17:37:38 修改
阅读量818 收藏 5
点赞数 2
分类专栏: VT win10x64 21H2 文章标签: 硬件架构 c语言 windows 系统安全
于 2023-02-26 20:55:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23389971/article/details/129231435
版权
文章详细介绍了系统调用的概念,以及VT(虚拟化技术)如何不修改系统代码,通过修改MSR寄存器来实现系统调用的Hook。在Hook过程中,需要绕过PatchGuard的检测,并在VMM的VM退出事件中处理读取MSR_LSTAR的事件,返回旧的系统调用地址。最后提到了在拦截所有系统调用时需要注意的性能问题。
摘要由CSDN通过智能技术生成
VT Msr Hook Syscall

什么是系统调用

  • 系统调用是内核提供给应用层的接口,比如在 win10x64 应用层打开一个应用,其实就是 explorer 调用了 CreateProcess,这个函数通过 NTDLL 调用表的 0xC8 号服务,执行 SYSCALL 进入内核。
  • 内核从 SSDT 服务表确定了函数参数个数,复制到内核栈中,取出对应内核函数地址,再 CALL 这个地址。
  • 执行创建进程的一系列操作后,用 SYSRET 返回到应用层,返回到调用 SYSCALL 的地方,这就完成了一次系统调用。

VT如何拦截系统调用

  • VT 不需要修改任何系统代码,只修改 MSR 寄存器,就可以达到 Hook 的目的。
  • MSR_LSTAR 这个特殊寄存器里存放的是 SYSCALL 的入口地址,我们只需要写个替换函数,把地址写入这个 MSR 即可完成挂钩,同时也要保存旧的 SYSCALL 地址。
  • PatchGuard 是微软的用来保护内核的模块,它会检查这个 MSR 是否被修改过,修改过会给个 109 蓝屏。
  • 我们可以利用VT技术对读 MSR 进行拦截,如果它读取了这个 MSR 我们给它返回旧的 SYSCALL 地址,就可以欺骗 PatchGuard。

代码流程如下:

  1. 我们要在 VT 基础框架上加些代码
  2. 申请用来 保存MSR 的内存,和 MSR位图 的内存,写入到 VMCS 对应的字段中。
  3. 设置读取 MSR_LSTAR 的 MSR位图 监控。
  4. 编写一个用来替换 MSR_LSTAR 的汇编函数。
  5. 读取并保存旧的 MSR_LSTAR。
  6. 将替换函数按照格式写入 保存MSR 的内存。
  7. 设置 VMCS 的 VM进入控制 加载MSR个数为1。
  8. 在 VMM 的 VM退出 事件处理例程里处理 读取 MSR_LSATR 的事件,返回保存的旧 SYSCALL 地址。
  9. 卸载的时候,只需要把旧的 SYSCALL 地址按格式写回到 保存MSR 的地方。
  10. 取消读取 MSR_LSTAR 的 MSR位图 监控。

注意事项:
如果拦截所有系统调用的话,不要打印,调用非常频繁,所有的核都在忙着打印,windbg 在不停输出。
推荐只打印同一个进程的系统调用,感受一下时间切片,核心切换

效果图

在这里插入图片描述

源码

源码

小烟囱
关注
专栏目录
[VT虚拟化驱动]利用EPT实现无痕HOOK
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
VT虚拟化技术笔记
weixin_60043341的博客
08-13 1819
VT技术的大致含义如上。一个CPU上有vm monitor和guest。在guest中感受不到自己跑在虚拟环境中。执行普通的操作时在guest中的操作和未开启vt时的操作并没有什么不同,但是在执行一些特殊的指令或者进行一些特殊的操作,如执行cpuid指令、切换cr3指令、读写msr寄存器指令、触发异常时,会将控制权交还给vm monitor,通过vm monitor确定应该如何让该指令或者操作得到执行。在云服务器的搭建中可以使用该技术让一台实体机上可以跑多台虚拟机。...
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
使用 NtSetInformationProcess hook syscall
05-30
使用 NtSetInformationProcess hook syscall 文件是使用例子
免杀笔记 ---> 无痕Hook硬件断点 Syscall!
最新发布
huohaowen的博客
09-26 829
说到Hook,我们有很多Hook,像Inline-Hook,我们也是用的比较多,但是正如我上一篇Blog说的,他会对内存进行修改,如果EDR或者AV增加一个校验机制,不断检验某一块内存,那么就算你用syscall绕过了Ring3的Hook成功修改了内存也是会被扫描出来的!于是就有了今天的无痕Hook --->硬件断点其实也是小编收到了粉丝的建议,于是赶出来了那个代码,但是这个技术是未公开的,所以小编就不放代码,但是会公布部分,以及一些细节(我也不想这个技术那么快没用,望理解😋)
Linux syscall Hook
钞sir的博客
03-26 1762
简介 Linux程序基本都是靠系统调用(syscall)来实现的, 所以可以控制到syscall, 就可以对程序进行监控或修改了; 前置知识 我们知道现在系统中程序分为64位和32位的, 系统为了兼容这些程序对系统函数的调用方法进行了简单的区分,最直观的就是64位程序使用syscall来调用系统函数,而32位的程序使用的是int 0x80, 比如这里的sleep函数的系统调用: 64位程序: 32位程序: 当然, 不是简单一个syscall命令或者int 0x80命令就可以完成一个系统调用, 还有一个系
Inline Hook Syscall 详解
pwl999的博客
07-20 2644
文章目录1. hook一般syscall2. hook stub syscall2.1 stub_xxx 原理2.2 方法1:hook `stub_xxx`2.3 方法2:hook `call sys_xxx`参考文档: 1. hook一般syscall 在安全、性能分析等领域,经常会需要对系统调用syscall进行hook。有些模块在kernel代码中已经预先hook,例如syscall trace event。 通常syscall使用sys_call_table[]数组来间接调用: kernel\arc
hook syscall table and clear cr0
weixin_30721899的博客
08-26 121
一个简单的linux rootkit 2011-01-17 14:58 http://hi.baidu.com/shazi129/blog/item/53974aec2f0fc5c32e2e21f1.html 下面提供一个相对完整的rootkit,在Fedora 12上编译运行成功。 #include <linux/module.h> #include <lin...
SyscallTables-master(syscall hook源码)
01-08
这是看雪论坛转载过来的,方便大家下载,实测可用而且很好用
修改MSRsyscall指令HOOK
12-12
在本主题中,我们将深入探讨“修改MSR(lstar)对syscall指令HOOK”的概念、实现方法以及在Win7 x64 SP1环境下的开发细节。 首先,我们要了解MSR(Model Specific Register,模型特定寄存器)。在x86-64架构中,MSR...
SYSENTER HOOK_HOOKMSR_SystemHook_进程保护_修改MSR_gotgkd_
09-29
在IT安全领域,"SYSENTER HOOK_HOOKMSR_SystemHook_进程保护_修改MSR_gotgkd_"这个标题涉及到一系列高级技术概念,主要涵盖了系统调用钩子(SYSENTER HOOK)、模型特定寄存器(Model-Specific Register, MSR)的修改...
syscall-hooks
06-06
系统调用钩子 关于如何挂钩系统调用的示例。 sys_call_table 中的索引可以在/usr/include/x86_64-linux-gnu/asm/unistd{,_64}.h或/usr/include/asm/unistd_{32,64}.h找到,具体取决于发行版。 索引和函数之间的匹配可以在/usr/src/$(uname -r)/arch/x86/syscalls/syscall_{32,64}.tbl syscall 函数的声明可以在/usr/src/$(uname -r)/include/linux/syscalls.h
MSR-900S_msr_
09-29
**MSR-900S MSR 软件:刷卡与读取技术详解** MSR-900S是一款专门设计用于数据采集和处理的磁条读卡器,尤其适用于零售、餐饮、酒店等行业的支付系统。这款设备的核心功能是通过磁条读取技术将信用卡或其他磁条卡上...
推荐开源项目:SyscallHook - 系统调用监控与钩子大师
gitblog_00083的博客
05-23 369
推荐开源项目:SyscallHook - 系统调用监控与钩子大师 去发现同类优质开源项目:https://gitcode.com/ 在深入探讨 SyscallHook 这个开源项目之前,我们先要理解它的起源和核心价值。SyscallHook 是基于 Nick Peterson 的 InfinityHook 项目进行改良的版本,针对 Windows 10 20H1 及其后续更新提供了系统调用监控和钩...
使用kprobes,截获execve系统调用,更谨慎的hook syscallTable的写法
weixin_30768661的博客
09-16 292
转载,原文出处:http://blog.chinaunix.net/u/548/showart.php?id=386423 关于截获execve等系统调用,很久以来存在一个问题:新函数不能直接调旧函数, 否则导致stack不平衡,出错。 曾经有高人用一串的汇编代码去平衡堆栈, 但对于偶们这些汇编菜鸟来说, 连阅读都很困难。 而且, 好像gcc4.x下不支持 它使用的一种寻址方式了。...
hook pte_Linux 模块编程和syscall hook技术
weixin_42498108的博客
01-17 337
编写Linux Module基础知识Modules是可以自由装载进内核(从内核卸载)的一块代码,不用重启系统就能扩展内核功能。设备驱动是一种module本文所说的Linux Module是External Modules, out-of-tree kernel module, Loadable kernel module(LKM).应用编程和内核编程对比Item应用编程内核编程使用函数glibc(...
Process-Instrumentation-Syscall-Hook: 系统调用钩子和进程监控工具
gitblog_00002的博客
03-05 454
Process-Instrumentation-Syscall-Hook: 系统调用钩子和进程监控工具 本文将为您介绍一个开源项目——Process-Instrumentation-Syscall-Hook,它是一个基于 Linux 内核的系统调用钩子和进程监控工具。这款工具可以帮助您更好地理解和控制您的应用程序在运行时的行为。 一、项目简介 Process-Instrumentation-Sy...
基于VT技术的HOOK流程图
吾无法无天的博客
03-27 5131
基于VT技术,无视PatchGuard MSR HOOK: EPT HOOK: Win10 1809测试:
学习记录--HooKSystemCall
weixin_30563917的博客
03-17 328
前言: 这两天看了一个github上的项目,记录一下学习的心得。 Win32 API大多数都要从Ring3层进入Ring0层,在内核中完成主要操作。这中间肯定要经过KiFastSystemCall这个过程,这个调用是Ring3层的。这些知识在《Windows内核安全与驱动开发》21章中。 项目: HookSystemCall大致原理就是自己构建一个类似SSDT的东西,当有函数通过KiFas...
MSR路由器FTP升级版本配置详解
在本篇文档中,我们主要讨论了如何在H3C MSR系列路由器上使用FTP方式进行软件版本升级,并针对不同型号的路由器提供配置指导。以下是一些关键知识点: 1. **组网需求**: 文档描述了一个典型的组网场景,其中主机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小烟囱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值