ept技术_[讨论]R3检测EPT方式HOOK页面的方案(20170919更新-已解决)

最新推荐文章于 2024-04-24 10:07:00 发布
最新推荐文章于 2024-04-24 10:07:00 发布
阅读量1.8k 收藏 3
点赞数
文章标签: ept技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39832643/article/details/111729662
版权
本文讨论了在R3层使用EPT Hook技术时遇到的检测问题。作者通过实验发现,即使采取了多种策略,如备份页面、修改EptEntry权限,仍无法避免被检测到。在确保EPT隐藏效果正常、VirtualQuery和NtQueryVirtualMemory返回值正确、Hook相关API未被探测的情况下,问题依然存在。作者希望得到业内专家的帮助解决这一难题。
摘要由CSDN通过智能技术生成

==== 本段更新于20170919 ====

1.感谢hzqst、v校在这一过程中提供的帮助

2.问题根源在于,检测进程将我HOOK的内存页映射到自己的内存空间;

不同VA映射相同PA时,然后被XXOO

所以 在处理EptViolation的时候,唯一靠谱的就是Lock之后的GuestPhysicalAddress

我之前使用GuestLinerAddress进行判断,所以就悲剧了。

==== 本段更新于20170905 ====

根据1L V校提供的思路,我又做了如下两种测试:

0. 备份Hook页面,原始页面为RW页,备份页面为X页,备份页不进行任何修改(不做HOOK仅测试);

响应EPT Violation时,如果是从RW切换到X,则将RW页面拷贝到X页面;

这样从理论上讲, 如果遇到  xor [code + offset], XX 之类,直接自己X自己代码的情况,可以保证读写页和执行页相同;

我自己用Demo程序测试,确认无论如果自身修改自己的代码,RW页面的修改可以同步到X页面上。

然而结果,直接扑街,依旧被检测到;

1. 不进行备份,只对EptEntry的WriteAccess、ReadAccess进行修改;

进一步缩小可能存在检测的范围,无论读写还是执行,均返回同一个页面;

只是在相应EPT Vi

最低0.47元/天 解锁文章
weixin_39832643
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[VT虚拟化驱动]利用EPT实现无痕HOOK
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
R3 IAT HOOK
butcher_elife的专栏
04-12 514
int HookInstall(const char* Name,int* Target,int* Replace) { int* Address=0; unsigned long Protect=
r3epthook-master.zip
11-29
VT ept进行hook,可以隐藏hook
windows主动防御视频教程
09-07
本套视频教程主要讲windows主动防御视频教程,从windows驱动开发基础到windows的rootkit开发最后到rootkit的检测一步步带领大家从0开始学习windows的rootkit对抗,技术内容主要讲的是各大安全厂商的安全产品底里核心技术,模仿windows上的杀软(ARK)技术展开,如进程模块注入、隐藏、检测等,还重点讲了虚拟化vt、ept技术,从浅入深。
探索R3eptHook:一款强大的JavaScript Hook
最新发布
gitblog_00051的博客
04-24 344
探索R3eptHook:一款强大的JavaScript Hook库 项目地址:https://gitcode.com/bb33bb/r3epthook 在前端开发中,有时我们需要对代码进行深入的调试或者性能优化,这就需要能够控制和修改JavaScript运行时的行为。R3eptHook就是这样一款强大的JavaScript Hook库,它允许开发者深度介入函数调用过程,实现灵活的监控、拦截和改造。...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8911
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
开启了EPT的VT源码-支持win10x64
12-25
本文将详细讲解与"开启了EPT的VT源码-支持win10x64"相关的技术知识点,包括虚拟化技术(VT)、扩展页表(EPT)、系统服务描述表(SSDT)无痕HOOK以及在Windows 10 x64环境下的应用。 1. **虚拟化技术(VT)**: ...
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
《Mirage:基于Intel VT-x & EPT技术的内核模式Anti-Anti-Debug插件解析》 在计算机安全领域,调试技术检测、分析和逆向工程软件的重要手段。然而,随着技术的发展,一些恶意软件开始使用反调试策略来避免被分析...
MC100EPT21DG的技术参数
12-11
MC100EPT21DG是一款高性能的时钟缓冲器,主要应用于高速数字系统,如通信、数据处理和计算平台。这款芯片以其卓越的电气性能和紧凑的封装设计,为系统提供稳定、准确的时钟信号。以下是该器件的关键技术参数的详细...
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友可以下载来看看,里面有VT完整的安装框架代码,以及用户层MFC工具源代码,中文备注,很多学习vt的朋友可能都没有完整的64位系统的VT完整框架的代码,所以学习的朋友可以下载来看看,有编译好的,也可以自行编译修改,祝大家学习愉快。
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
利用 RtlWalkFrameChain 回溯调用堆栈
06-03
学习到的知识:。通过RtlWalkFrameChain 回溯调用堆栈。通过NtQueryVirtualMemory 查询模块句柄与模块名。@pxiu。
MC100EPT23DG的技术参数
12-11
MC100EPT23DG是一款高性能的时钟缓冲器,主要用于电子系统中的时钟分配和信号同步。它的技术参数对于理解其功能和性能至关重要。以下是对这些参数的详细解释: 1. **产品型号**:MC100EPT23DG 这是该器件的唯一...
超详细preact hook源码逐行解析
flytam的博客
11-11 723
本文通过对preact的hook源码分析,理解和掌握react/preact的hook用法以及一些常见的问题。虽然react和preact的实现上有一定的差异,但是对于hook的表现来说,是基本一致的。对于 preact的hook分析,我们很容易旧记住 hook 的使用和防止踩一些误区 preact hook 作为一个单独的包preact/hook引入的,它的总代码包含注释区区 300 行。 ...
Intel VT学习笔记(九)—— EPT应用示例
qq_41988448的博客
02-23 2048
Intel VT学习笔记(九)—— EPT应用示例内存保护EPT violation代码实现参考资料 内存保护 描述:尝试使用EPT将一块特定的物理内存保护起来。 先来选择一块物理地址,那么这里就跟周壑老师一样,选择「Page Fault」函数所在的物理地址。 首先使用PCHunter看一下具体的物理地址是多少: 然后用WinDbg直接查看对应的物理地址: 可以看到「Page Fault」函数的物理地址是0x541450,即所属的物理页为0x541000。 那么,能不能让Guest能够执行它,但是不能够
基于VT技术HOOK流程图
吾无法无天的博客
03-27 5001
基于VT技术,无视PatchGuard MSR HOOK: EPT HOOK: Win10 1809测试:
3.3EPT内存虚拟化
wanthelping的博客
07-26 3529
本节分析kvm中基于EPT的内存虚拟化实现流程
EPT学习记录
luke_lx的博客
11-05 2367
扩展分页机制(EPT) 扩展页表机制(EPT)是一项可用于支持物理内存虚拟化的功能。使用EPT时,通常会被视为物理地址(并用于访问内存)的某些地址将被视为来guest-physical addresses。通过遍历一组EPT分页结构来转换guest-physical addresses,以生成用于访问内存的物理地址。 EPT介绍 EPT在“启用EPT” VM-execution control为1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值