(vt)事件注入与中断拦截

最新推荐文章于 2024-06-08 23:26:46 发布
最新推荐文章于 2024-06-08 23:26:46 发布
阅读量320 收藏 1
点赞数
分类专栏: 虚拟化 文章标签: 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43890959/article/details/130428905
版权

中断拦截

在VMCS域内设置 Exception Bitmap 可接管guest系统中断。



事件注入

vmm可以设置事件注入(event injection)IDT,以便在进入guest之后执行中断例程,详见Intel白皮书 24.8.3。其事件注入的时机为guest环境刚刚恢复resume后,模拟CPU中断调用IDT表中的中断例程,实现host接管中断的透明化。
在vmm接管到系统中断时,可通过读 VM-Exit Interruption-Information Field 获取中断类型type以及中断号vector。
通过设置 VM-Entry Interruption-Information Field 以及 VM-entry exception error codeVM-entry instruction length 实现事件注入。

在这里插入图片描述


在这里插入图片描述

code


VT框架中关于中段拦截与事件注入的相关代码如下: 
void HandleOfInterruption()
{
    ExitInterruptInformation ExitInterruptInfo = { 0 };
    asm_vmread(&ExitInterruptInfo, VM_EXIT_INTR_INFO);

    if (ExitInterruptInfo.Bits.valid)
    {
        /*
            中断类型: 0.外部中断, 2.nmi, 3.硬件中断, 6.软中断
        */
        if (ExitInterruptInfo.Bits.vector == 3)  // int3 软中断
        {
            DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] int3 ==> GuestRIP: 0x%p, GuestRSP: 0x%p\n", g_pGuestRegs->rip, g_pGuestRegs->rsp);
        }
        /*
        else if (ExitInterruptInfo.Bits.vector == 1)  // debug 硬件中断
        {
            //DbgBreakPoint();
            DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] debug ==> GuestRIP: 0x%p, GuestRSP: 0x%p\n", g_pGuestRegs->rip, g_pGuestRegs->rsp);
            g_pGuestRegs->rflags &= 0xfffffffffffffeff;
        } 
        */
        
        else
            DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] 未处理中断 ==> type: %d, index: %d\n", ExitInterruptInfo.Bits.type, ExitInterruptInfo.Bits.vector);

        /*
            事件注入
        */
        VmEntryInterruptionInformationField InterruptionInformationField = { 0 };
        InterruptionInformationField.Bits.valid = TRUE;
        InterruptionInformationField.Bits.type = ExitInterruptInfo.Bits.type;
        InterruptionInformationField.Bits.vector = ExitInterruptInfo.Bits.vector;
        
        if (ExitInterruptInfo.Bits.errorCodeValid)
        {
            UINT64 ExitInterruptErrorCode = 0;
            InterruptionInformationField.Bits.deliver_error_code = TRUE;
            asm_vmread(&ExitInterruptErrorCode, VM_EXIT_INTR_ERROR_CODE);
            asm_vmwrite(VM_ENTRY_EXCEPTION_ERROR_CODE, ExitInterruptErrorCode);
        }
        __int64 ExitInstructionLength = 0;
        asm_vmread(&ExitInstructionLength, VM_EXIT_INSTRUCTION_LEN);
        asm_vmwrite(VM_ENTRY_INSTRUCTION_LEN, ExitInstructionLength);
        asm_vmwrite(VM_ENTRY_INTR_INFO_FIELD, InterruptionInformationField.all);
    }
    else
        DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[!] 无效ExitInterruptInfo.\n");
}
walker-n
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows主动防御视频教程
09-07
本套视频教程主要讲windows主动防御视频教程,从windows驱动开发基础到windows的rootkit开发最后到rootkit的检测一步步带领大家从0开始学习windows的rootkit对抗,技术内容主要讲的是各大安全厂商的安全产品底里核心技术,模仿windows上的杀软(ARK)技术展开,如进程模块注入、隐藏、检测等,还重点讲了虚拟化vt、ept等技术,从浅入深。
VT Msr Hook Syscall
小烟的博客
02-26 655
VT Hook Syscall
VT技术之事件注入的杂项
最新发布
weixin_43751677的博客
06-08 317
老子就不屑写
(vt) 无限硬件中断的代码实现
walker的博客
05-06 602
在学习vt时了解到无限硬件断点技术,即不依赖于dr寄存器实现硬件断点。由于硬件断点依赖于调试寄存器 dr0-dr3,这就意味着只能设置4个硬件断点。
第117天:免杀对抗-反VT沙盒&反虚拟机&反调试&进程APC注入&项目保护
qq_46081990的博客
07-24 791
"反VT反调试" 大致实现流程为:先检测是否在虚拟机或沙箱中运行,若不是则执行shellcode,反之则不执行。
UiAutomator源码分析之注入事件
weixin_34153893的博客
10-28 139
上一篇文章《UiAutomator源码分析之UiAutomatorBridge框架》中我们把UiAutomatorBridge以及它相关的类进行的描述,往下我们会尝试根据两个实例将这些类给串联起来,我准备做的是用如下两个很有代表性的实例: 注入事件获取控件 这一篇文章我们会通过分析UiDevice的pressHome这个方法来分析UiAutomator是如何注入事...
VT教程,检查CPU,与开启VMX
02-24
【标题】:“VT教程,检查CPU,与开启VMX” 【描述】:“课程源码”这一描述可能是指这个压缩包包含了一组与虚拟化技术相关的编程教程或教学材料,特别是关于Intel的Virtualization Technology(VT)和VMX(Virtual...
CANoe 连接VT System和VT System故障问题排查;
02-26
VT6000切换到无VT6000时,需在CANoe中断开RT server,反之则按照有VT6000的步骤重新连接。 在使用过程中,若遇到“VT Hard is not found”的错误提示,应检查以下几点:一是确认CANoe已正确激活并处于Real Bus...
VT System中文使用指导手册
08-01
VT System中文使用指导手册是Vector公司为用户提供的详细操作指南,旨在帮助用户高效、安全地使用VT System。手册由Yu, Cedar、Lu, Luffy和Huang, Dylan共同编写,并由Vector Automotive Technology (Shanghai) Co.,...
unbuntu终端VT码使用方法与基本参数
05-16
在Ubuntu操作系统中,终端(Terminal)是一个至关重要的工具,它提供了命令行界面,允许用户通过输入指令来...对于开发人员来说,尤其在处理日志文件、编写脚本或者与远程服务器交互时,熟练运用VT码能够提高生产力。
3.VT调试器实现单步跟踪.rar
10-20
3.VT调试器实现单步跟踪.rar
Vt.rar_vt台球
09-14
【标题】"Vt.rar_vt台球"是一款模拟台球的小型游戏,它为玩家提供了在电脑上体验台球竞技的机会。这款软件通过精心设计的物理引擎和图形界面,尽可能地还原了真实台球桌上的击球感觉,让用户可以在虚拟环境中享受...
虚拟化技术之 kvm (二)- 中断虚拟化
weixin_41028621的博客
01-31 1958
中断虚拟化 1.X86 中断   中断从设备发送到CPU需要经过中断控制器,现代x86架构采用的中断控制器被称为APIC(Advanced Programmable Interrupt Controller)。APIC是伴随多核处理器产生的,所有的核共用一个I/O APIC,用于统一接收来自外部I/O设备的中断,而后根据软件的设定,格式化出一条包含该中断所有信息的Interrupt Message,发送给对应的CPU。   每个核有一个Local APIC,用于接收来自I/O APIC的Interrup.
[Rootkit] 无痕 hook - 硬件断点
LYSM
06-10 3203
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hook方式: jmp到我们自己的处理逻辑。上面也分析了,这种方式缺点非常明显;最牛逼的神级hook:VT读写分离前面已经介绍过了,今天继续介绍高级的hook方式:硬件断点; 现代软件开发,尤其是大型软件开发,绝对不可能一步到位,开发期间肯定存在各种bug。为了方便找到这些bug,软件上有专门
Intel VT学习笔记(五)—— 调试技巧
qq_41988448的博客
02-11 1377
Intel VT学习笔记(五)—— 调试技巧要点回顾INT 3失效调试技巧参考资料 要点回顾 在上一篇中,我们主要学习了如何填写Guest state fields的各项字段,以及如何对错误码进行排查,并最终成功执行了Guest代码。 在GuestEntry中,我们通过执行VMCALL指令触发VM-Exit,而没有用INT 3指令直接中断,其中是有原因的。 在本篇,我们将解释为什么没有在GuestEntry中使用INT 3中断,以及相关的调试技巧。 INT 3失效 将GuestEntry修改为以下代码: v
动态代理-事件注入(一)
写好每一篇文章
01-14 1621
1.目的: 通过代理的方式去注册控件的点击事件,长按事件等其他事件。 优点:隔离代码层,解耦 缺点:运行时反射的效率低 2.第一版本(先不用动态代理): 2.1 创建一个注解类 (用来区分方法是否需要注册点击事件) @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface OnClick { //接收控件的ID int[] value() default -1; } 2.2
VT虚拟化框架编写
鬼手的博客
02-11 5259
学习VT相关的知识,需要具备WIN32基础和内核相关的知识,包括Windows段机制,页机制等等,VT里面都会有所涉及,也就是得把Windows编程和驱动基本通关,新手建议劝退。整个VT的知识结构有大量的新的概念,新的寄存器,新的指令还有各种标志位,初次学习VT建议结合代码来理解相关的理论基础,重点在于梳理整个VT的流程,不要深究具体的某个细节。整个流程走完之后就有了阅读别人代码的能力,等实际应用的时候再去查阅相关资料补齐技术细节的部分。我的笔记,很多能省的基本都省掉了,只把整体必须的流程整理出来。
Linux: Intel-Virtualization Technology(VT)下的中断
博客标题
07-03 1167
这也是以前的一篇手记,由于涉及到公司的一些资料,摘录并整理。只是一个简单的流程说明,详细的知识点还请参考相关手册。先来张图热个身。在VT环境下,当中断产生时,有两种场景:在host上下文和guest上下文。 host收到中断后,可以自己处理,也可以将此中断重新路由给Guest;Guest上下文的中断,可以配置为直接路由给Guest,或配置为路由给host。所以需要host和guest间有统一的中断
vt distribution
05-01
vt distribution是什么? vt distribution是一种文件分发技术,它使用云端验证技术来检查文件是否有病毒,以保证文件的安全性。这种技术可以有效地防止和识别恶意软件,保护个人用户和企业的系统安全。这种技术可以让用户通过网站或应用程序下载文件,确保文件没有任何恶意软件。vt distribution使用云端验证技术,可以快速分析和验证文件,大大缩短了验证时间,并提高了分发效率。vt distribution还可以根据文件大小和类型自动分配服务器,以确保速度和存储的效率。 在当前互联网时代,vt distribution变得越来越重要,它不仅能够保护个人电脑和企业的系统安全,而且还可以促进在线教育、软件开发、传输大型媒体文件等方面的快速交换和共享。在未来,随着网络技术的不断发展,vt distribution将在更广泛的应用领域发挥更大的作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值