Intel VT学习笔记(九)—— EPT应用示例

已于 2022-10-09 10:52:55 修改
阅读量2k 收藏 8
点赞数
分类专栏: VT 文章标签: VT 内存保护
于 2022-02-23 15:53:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/123089871
版权
本文介绍了如何利用Intel VT技术中的EPT(Extended Page Tables)进行内存保护,通过设置EPT页表禁止对特定物理地址的读写,仅允许执行。在遇到EPT violation VM-Exit事件时,根据退出码和访问权限动态替换页面,实现对Guest行为的监控。通过示例代码展示了如何分配假页面并在读/写时替换,以及在执行时恢复真实页面。
摘要由CSDN通过智能技术生成

Intel VT学习笔记(九)—— EPT应用示例

内存保护

描述:尝试使用EPT将一块特定的物理内存保护起来。

先来选择一块物理地址,那么这里就跟周壑老师一样,选择「Page Fault」函数所在的物理地址。

首先使用PCHunter看一下虚拟地址是多少:
在这里插入图片描述
然后用WinDbg直接查看对应的物理地址:
在这里插入图片描述
可以看到「Page Fault」函数的物理地址是0x541450,即所属的物理页为0x541000。

那么,能不能让Guest能够执行它,但是不能够对它读写呢?

这个是不能随便设置的,需要看系统是否支持。(通过检测IA32_VMX_EPT_VPID_CAP MSR,具体参考Intel手册卷3附录A.10)
在这里插入图片描述
只有当这个IA32_VMX_EPT_VPID_CAP MSR的第0位为1时,才支持将EPT物理页面设置为可执行,但不可读写的权限(在笔者的环境中是支持的)。
在这里插入图片描述

代码实现

if (0x541000 == *ept_PT & 0xfffff000)   //寻找Page Fault函数所在的物理页
{
    *ept_PT &= 0xfffffff4;      //去除可读、可写的权限
}

运行结果
在这里插入图片描述
此时能够成功开启VT,并且系统能够正常运行。

那么来查看「Page Fault」函数的反汇编试试:
在这里插入图片描述
在这里插入图片描述
产生了一个VM-Exit事件,退出码为0x30,对应的含义为「EPT violation」,表示EPT不允许Guest访问该页面。

EPT violation

描述:当EPT模式下访问物理内存(读、写、执行)失败时,会导致VM-Exit,退出码为0x30,即EPT violation。

可以在Host中获取具体的信息,然后进行相应的处理。

EPT violation的具体信息包含的含义如下(参考Intel开发手册卷3表27-7):
在这里插入图片描述
可以通过该退出码检测Guest的行为,如果是读/写的时候,返回一个假页面给Guest;如果是执行时,返回一个真页面。

代码实现

//ept.c
...
ULONG64 fake_page_PA;				//假页面
ULONG64* hook_ept_PT;				//用于替换页面

static void AllocateFakePage()
{
    PVOID page = AllocateOnePage();
    fake_page_PA = MmGetPhysicalAddress(page).QuadPart;
}
...
if (0x541000 == (*ept_PT & 0xfffff000))   //寻找Page Fault函数所在的物理页
{
    AllocateFakePage();					//分配一个假页面
    *ept_PT &= 0xfffffff4;      //真页面去除可读、可写的权限
    hook_ept_PT = ept_PT;
}
...

//exithandler.c
...
extern ULONG64 fake_page_PA;
extern ULONG64* hook_ept_PT;

void HandleEptViolation()
{
	ULONG ExitQualification;

	ExitQualification = Vmx_VmRead(EXIT_QUALIFICATION);

	//判断访问权限,如果是读/写,就给一个假页面,如果是执行,就给一个真页面
	if (ExitQualification & 3)   // 读/写
	{
		*hook_ept_PT = fake_page_PA | 0x33;	//给假页面,权限为读/写
	}
	else     // 执行
	{
		*hook_ept_PT = 0x541000 | 0x34;		//给真页面,权限为执行
	}
}
...
case EXIT_REASON_EPT_VIOLATION:
		ExitInstructionLength = 0;		//将指令长度改为0,表示不跳过指令
		HandleEptViolation();					//处理
		break;
...

运行结果
在这里插入图片描述
可以看到,此时读取「Page Fault」函数的具体代码时,返回的内容全是0,因为在读/写时,Host挂入了一个假页面。

并且PCHunter将这个页面的所有函数都认定为被Inline Hook了:
在这里插入图片描述
那么我们的目的也就达到了。

关于VT,笔者暂时先学习到这里,不得不说收获了很多知识,感觉VT能做的事情远不止如此,等有时间再深入研究一番。

参考资料

lzyddf
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[VT虚拟化驱动]利用EPT实现无痕HOOK
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
VT 技术 win10x64 21H2
小烟的博客
02-26 376
VT win10x64 21H2
r3epthook-master.zip
11-29
VT ept进行hook,可以隐藏hook
windows主动防御视频教程
09-07
本套视频教程主要讲windows主动防御视频教程,从windows驱动开发基础到windows的rootkit开发最后到rootkit的检测一步步带领大家从0开始学习windows的rootkit对抗,技术内容主要讲的是各大安全厂商的安全产品底里核心技术,模仿windows上的杀软(ARK)技术展开,如进程模块注入、隐藏、检测等,还重点讲了虚拟化vtept等技术,从浅入深。
Intel VT学习笔记(八)—— 开启EPT
qq_41988448的博客
02-22 2037
Intel VT学习笔记(八)—— 32-bit分页模式启用EPT要点回顾 要点回顾 在上一篇中,我们学习了什么是EPT模式,以及EPT模式是如何在GPA和HPA之间进行转换的。 在本篇,我们即将学习的是32-bit分页模式(10-10-12分页)下如何开启EPT。 在讲解正题之前,周壑老师抛出了几个小问题。 问题一:为什么在退出VT模式后,使用PCHUNTER查看GDT表会蓝屏? 问题二:进入VT模式时通过EFLAGS关闭了外部中断(IF位清零),切换到HOST时需要再手动关闭一下吗? 这里我们就直接说答
Intel VT学习笔记(七)—— EPT物理地址转换
qq_41988448的博客
02-21 1542
Intel VT学习笔记(七)—— EPT物理地址转换要点回顾EPT支持检测参考资料 要点回顾 在上一篇中,已经初步实现了最小VT框架,但实际上还有许多问题需要解决。 在最小VT框架中,我们仅处理了三个退出码: #define EXIT_REASON_CPUID 10 #define EXIT_REASON_VMCALL 18 #define EXIT_REASON_CR_ACCESS 28 要是想开发一个成熟的VT框架,需要处理的
开启了EPTVT源码-支持win10x64
12-25
本文将详细讲解与"开启了EPTVT源码-支持win10x64"相关的技术知识点,包括虚拟化技术(VT)、扩展页表(EPT)、系统服务描述表(SSDT)无痕HOOK以及在Windows 10 x64环境下的应用。 1. **虚拟化技术(VT)**: ...
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
《Mirage:基于Intel VT-x & EPT技术的内核模式Anti-Anti-Debug插件解析》 在计算机安全领域,调试技术是检测、分析和逆向工程软件的重要手段。然而,随着技术的发展,一些恶意软件开始使用反调试策略来避免被分析...
配置Win10解决VMware Intel VT-x虚拟化问题.docx
11-19
对于许多用户而言,特别是在进行软件开发、测试或学习新操作系统时,Intel VT-x的正常使用至关重要。因此,本文将详细介绍如何在Windows 10操作系统中正确配置并启用Intel VT-x功能。 #### 二、问题分析 当在...
Intel manual:EPT Translation Mechanism中文版.docx
09-05
IntelEPT(Extended Page Tables,扩展页表)转换机制是一种虚拟化技术,用于在Intel的处理器上高效地管理客户机(Guest)物理地址到主机(Host)物理地址的映射。这个机制在Intel的手册中被详细描述,尤其在“EPT...
VT虚拟化驱动+内存读写+机器码修改源代码
05-15
VT虚拟化驱动+内存读写+机器码修改源代码
Intel manual:EPT Overview中文版.docx
09-05
### Intel 手册:EPT概述 #### 一、EPT基本概念 EPT(Extended Page Tables),即扩展页表,是一种由Intel引入的技术,旨在提高虚拟化环境下的内存管理效率。EPT技术的主要功能是在VMX(Virtual Machine ...
ept技术_[讨论]R3检测EPT方式HOOK页面的方案(20170919更新-已解决)
weixin_39832643的博客
12-20 1866
==== 本段更新于20170919 ====1.感谢hzqst、v校在这一过程中提供的帮助2.问题根源在于,检测进程将我HOOK的内存页映射到自己的内存空间;不同VA映射相同PA时,然后被XXOO所以 在处理EptViolation的时候,唯一靠谱的就是Lock之后的GuestPhysicalAddress我之前使用GuestLinerAddress进行判断,所以就悲剧了。==== 本段更新于2...
Intel-VT 技术详解
Everything is possible--博客的内容只是作为一种备忘
07-06 2598
  Intel-VT 技术详解 服务器在线 12年05月18日 14:56 【转载】 作者:网络转载 责任编辑:赵航 导读:内存的虚拟内存。后来,为了能够在保护模式下更好的支持早期的在实模式下的程序的运行,英特尔又加入了虚拟 8086 模式。虽然虚拟 8086 模式并不能完全兼容真实的实模式程序,但是也算是英特尔处理器虚拟化的一次尝试。 关键词: I...
VT系列一:VT简述
zhuhuibeishadiao
09-08 4805
本文只是学习此视频后的一些总结 不当之处还请指出 视频作者:小宝来了 视频连接:http://bbs.pediy.com/showthread.php?t=211973  约定: 本文中出现的名词 虚拟机 客户机 GUEST 都是被监控的操作系统或应用程序 宿主机 HOST Hypervisor都是指监控虚拟机的“原”操作系统 VMM:当客户机发生退出事件时,进入的就是VMM
内存虚拟化硬件基础——EPT
Take Easy,Work Hard!
04-05 9088
本文根据Intel手册,介绍内存虚拟化的硬件基础,Intel EPT机制
[VT虚拟化驱动]启用EPT
吾无法无天的博客
12-05 3145
文章目录前言一、EPT概述二、构建EPT1.思路2.代码实现三、本章代码 前言 一、EPT概述 其实也就相当于r0与r3,在r3层的地址并不是真正对应到内存里的物理地址,而是虚拟地址,需要通过内核里对应的页表来查找才能得到真正的物理地址,但如果加载了VT,在r0层查出来的物理地址也变成了虚拟的,也需要通过一个页表来查得真正的物理地址,也就是EPT,有了EPT机制,就能在一台电脑里运行多个操作系统,就像一个操作系统里运行多个应用程序一
官方解释Vmware中虚拟化Intel VT-x/EPT、CPU性能计数器,虚拟化IOMMU
热门推荐
weixin_54475237的博客
07-28 1万+
英特尔® 虚拟化技术 (VT-x),英特尔® VT-x with Extended Page Tables (EPT),虚拟 CPU 性能计数器
intel vt-x/ept
最新发布
09-17
Intel VT-x/EPT是英特尔虚拟化技术的一种扩展,它为处理器提供了硬件级别的虚拟化支持。 VT-x代表Virtualization Technology,它是一种硬件支持的虚拟化技术。在没有VT-x之前,虚拟化需要依赖于软件实现,因此效率较低。引入VT-x后,处理器能够直接支持虚拟化,从而提供更高的执行效率和更低的开销。VT-x能够支持将物理计算机分为多个虚拟机,并使其各自独立运行,互不干扰。虚拟机可以共享硬件资源,同时也能够在一台计算机上实现运行多个不同操作系统的功能。这种虚拟化技术广泛应用于云计算、服务器虚拟化等领域。 EPT代表Extended Page Tables,它是在VT-x的基础上的一种扩展,提供了更好的虚拟内存支持。在传统的虚拟化中,为了实现每个虚拟机拥有独立的内存空间而不互相干扰,需要利用软件在虚拟地址和物理地址之间进行转换,这会带来一定的性能开销。EPT通过引入一个额外的表格结构,将虚拟地址和物理地址的映射关系缓存在处理器的硬件内存管理单元中,从而实现了更快速的地址转换,提高了虚拟机的性能。 总之,Intel VT-x/EPT是一种基于硬件的虚拟化技术,它通过在处理器级别支持虚拟化,提供了更高效、更低开销的虚拟机运行环境。EPT则进一步优化了虚拟内存的管理,提高了虚拟机的性能。这些技术的应用使得虚拟化技术更加成熟和普及,并在云计算、服务器虚拟化等领域发挥着重要作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值