[VT虚拟化驱动]利用EPT实现无痕HOOK

最新推荐文章于 2024-08-15 09:32:37 发布
最新推荐文章于 2024-08-15 09:32:37 发布
阅读量1.4w 收藏 41
点赞数 15
分类专栏: VT(CPU虚拟化技术) 文章标签: VT-X 虚拟化技术 HOOK 无痕HOOK EPT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/110763341
版权
本文介绍了EPT无痕HOOK的原理,通过修改EPT来实现在虚拟化环境中进行无痕函数HOOK。详细阐述了如何操作EPT,将函数页面复制并设置权限,以及如何处理HOOK和UnHOOK。文章提供了代码示例,包括HOOK.h和EptHook.cpp的编写,以及在VmCall和EptViolation处理中的应用,最后进行了测试验证。
摘要由CSDN通过智能技术生成

文章目录

一、 原理

EPT无痕HOOK的原理其实很简单,就是操作EPT,把要HOOK的函数的对应的页面的pte属性改成只能读写,不能执行,把函数页面复制一份,在复制出来的页面做HOOK,页面属性为只能执行

执行的原函数页面的时候,会触发EptViolation进入host,把原函数所在页对应pte的物理地址改成HOOK的页面,也就是复制出来的页面,属性是只能执行
读写被HOOK函数页面的时候,会触发EptViolation进入host,把原函数所在页对应pte的物理地址改成原函数的页面,属性是能读写不能执行

为什么不直接HOOK原函数页,读写复制出来的页面呢?
HOOK原函数页,在退出的时候还得改回来,而HOOK复制出来的就不用再去改回来了,直接释放就好

二、代码编写

一些准备

需要一个反汇编库,以便计算HOOK时要修改的指令的总长度,这里HOOK是使用push ret方式,千万不能用jmp或者其他需要读内存页方式来HOOK,否则会一直触发EptViolation,需要12个字节,但不能字节改,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
吾无法无天
关注
专栏目录
订阅专栏
基于VEH的无痕HOOK
小龙在线
08-09 384
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友可以下载来看看,里面有VT完整的安装框架代码,以及用户层MFC工具源代码,中文备注,很多学习vt的朋友可能都没有完整的64位系统的VT完整框架的代码,所以学习的朋友可以下载来看看,有编译好的,也可以自行编译修改,祝大家学习愉快。
[Rootkit] 无痕 hook - 硬件断点
LYSM
06-10 3387
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hook方式: jmp到我们自己的处理逻辑。上面也分析了,这种方式缺点非常明显;最牛逼的神级hookVT读写分离前面已经介绍过了,今天继续介绍高级的hook方式:硬件断点; 现代软件开发,尤其是大型软件开发,绝对不可能一步到位,开发期间肯定存在各种bug。为了方便找到这些bug,软件上有专门
推荐开源项目:TinyVT - 轻量级VT框架与Ept无痕HOOK
最新发布
gitblog_00273的博客
08-15 610
推荐开源项目:TinyVT - 轻量级VT框架与Ept无痕HOOK 项目地址:https://gitcode.com/gh_mirrors/ti/TinyVT 在寻找一款能够在Windows系统上进行高效、低侵入性动态 Hook 的工具吗?让我们一起探索 TinyVT,一个专为Windows设计的轻量级VT(Virtualization Technology)框架,搭配独特的Ept无痕HOOK机制...
TinyVT 开源项目使用教程
gitblog_00934的博客
08-15 367
TinyVT 开源项目使用教程 TinyVT轻量级VT框架和Ept无痕HOOK,测试环境:WIN10 1903,WIN7项目地址:https://gitcode.com/gh_mirrors/ti/TinyVT 项目概述 TinyVT 是一个轻量级的虚拟化技术(Virtualization Technology, VT)框架,集成了EPT(Extended Page Tables)无痕HOOK功...
Intel VT学习笔记(九)—— EPT应用示例
qq_41988448的博客
02-23 2153
Intel VT学习笔记(九)—— EPT应用示例内存保护EPT violation代码实现参考资料 内存保护 描述:尝试使用EPT将一块特定的物理内存保护起来。 先来选择一块物理地址,那么这里就跟周壑老师一样,选择「Page Fault」函数所在的物理地址。 首先使用PCHunter看一下具体的物理地址是多少: 然后用WinDbg直接查看对应的物理地址: 可以看到「Page Fault」函数的物理地址是0x541450,即所属的物理页为0x541000。 那么,能不能让Guest能够执行它,但是不能够
ept技术_[讨论]R3检测EPT方式HOOK页面的方案(20170919更新-已解决)
weixin_39832643的博客
12-20 1944
==== 本段更新于20170919 ====1.感谢hzqst、v校在这一过程中提供的帮助2.问题根源在于,检测进程将我HOOK的内存页映射到自己的内存空间;不同VA映射相同PA时,然后被XXOO所以 在处理EptViolation的时候,唯一靠谱的就是Lock之后的GuestPhysicalAddress我之前使用GuestLinerAddress进行判断,所以就悲剧了。==== 本段更新于2...
VEH+硬件断点实现无痕HOOK
鬼手的博客
09-24 9546
文章目录hook的分类硬件断点hook原理设置硬件断点注册VEH代码实现VEH无痕Hook说说一路踩过的坑实际效果小结关于veh hook的对抗参考文章参考文章 hook的分类 hook方式有多种,这里做了一个系统性的总结对比,如下: 实际上第二种和第三种属于同一类型的hook,都是利用异常处理函数来处理,只是触发异常的方式不同 硬件断点hook原理 想要实现硬件断点hook,需要实现下面几个步骤 设置硬件断点 注册veh异常处理函数 编写异常处理函数,实现自己的hook代码 设置硬件断点 首先来说一
完美绕开CRC32检测的无痕hook
陈子青的博客
07-18 5058
Hook英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从A到B顺序来执行,此时我们在A点做Hook,将程序执行路线变成了从A点先到C点再到B点,这个过程就叫Hook,C点这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序的执行出我们想要的结果。(记住此时的ABC,下文都以此为例)............
《TinySvm》基于NPT的无痕hook
weixin_47707022的博客
11-30 311
同时ARK工具下无法观测,实现无痕hook,原因是ARK所读的嵌套页表(NPT)是原始无改的,但在权限上被设为不可执行,所执行的页表含上述hook代码,权限为可执行不可读写,原理与vt hook相同,差异主要存在于对页表的检索。代码连接https://huanfuhezi.lanzouq.com/b276yhg。hook Ntopenprocess函数做进程保护。当调试器附加时,进程句柄不再打开。启动驱动,逐个虚拟化cpu,
VTDriver.exe
05-12
雷柏vt300驱动
VT虚拟化驱动+内存读写+机器码修改源代码
05-03
纯c++源代码,不是.sys, 可以修改CPUID和硬盘ID,里面集成了各种钩子处理、隐藏驱动、伪装、PatchGuard、文件保护、窗口保护、拦截数据包、绕过反调试、等等...非常适合拿来做技术研究。
ept_usb转串口驱动
07-09
EPT usbto232网上找了很久没有找到最后找的了安装光盘为方便有人查找上传上来usbtors232
[VT虚拟化驱动]正式启动VT
吾无法无天的博客
12-03 2849
文章目录前言一、vmlaunch正式开始虚拟化二、使用步骤1.引入库2.读入数据总结 前言 本章开始真正实现一个最简单的VT框架,当然,只是能跑起来一个VT驱动了,没有并包括EPTEPT后面再讲 提示:以下是本篇文章正文内容,下面案例可供参考 一、vmlaunch正式开始虚拟化 执行VMLAUNCH指令执行后,就正式进入虚拟化了,再该指令执行之前,得先保存Guest当前的环境,执行完VMLAUNCH后,要恢复Guest的环境,让Guest就像什么都没发生一样,所以需要保存和恢复Guest的各种寄存器的值
[VT虚拟化驱动]VMXON
吾无法无天的博客
11-21 1800
文章目录引入头文件一、执行VMXON1.文档说明2.代码编写二、退出HOST三、ia32.h 引入头文件 需要引入一个头文件(ia32.h),里面定义了很多我们需要用到的结构 头文件下载地址:https://github.com/wbenny/ia32-doc/tree/master/out 只需要ia32.h即可,下载后引入项目中,然后在def.h中包含,网速较慢不方便下载的话可以复制文章末尾的(有一点中文注释) 一、执行VMXON 1.文档说明 31.5 VMM SETUP & TEAR D
解决此平台不支持虚拟化的 Intel VT-x/EPT故障问题
CoffeMilk的博客
06-18 3952
当我们在VMware Workstation虚拟机上【启用】虚拟系统(如:Windows10)所在的虚【拟机设置】【处理器】【虚拟化引擎】下面的【虚拟化 Intel VT-x/EPT 或AMD-V/RVI(V)】内容后,在启动虚拟系统时,虚拟系统无法启动,且弹出【此平台不支持虚拟化的 Intel VT-x/EPT。不使用虚拟化的 Intel VT-x/EPT,是否继续】窗口
Hyperplatform VT HOOK
weixin_33748818的博客
10-20 1339
源码:https://github.com/tandasat/DdiMonhttps://github.com/tandasat/HyperPlatform 转载于:https://blog.51cto.com/haidragon/2306936
win10 此平台不支持虚拟化的 intel vt-x/ept
05-01
Win10是微软公司推出的一款操作系统,支持在x86、x64和ARM架构下运行。虚拟化是一种技术,可为多个虚拟机提供单一的物理计算机。这种技术在IT行业中使用广泛,能够提高计算机的效率、使用率和灵活性。然而,有些计算机并不支持虚拟化技术。 在Win10系统中,有些版本并不支持Intel VT-x/EPT虚拟化技术。这是因为Intel VT-x/EPT虚拟化技术需要处理器的硬件支持,而不是软件支持。因此,若使用Win10的此类版本,则无法开启VT-x/EPT虚拟化功能。若用户需要使用虚拟化技术,需要升级到支持Intel VT-x/EPT虚拟化技术的Win10版本,或使用其他支持虚拟化技术的操作系统。 在使用虚拟化技术的时候,还需要特别注意硬件兼容性问题。因为虚拟机的创建和运行需要访问计算机的硬件资源,若硬件不兼容,会影响虚拟机的运行和性能。所以在使用虚拟化技术时,请首先了解计算机硬件的兼容性,以确保虚拟机的正常运行。
评论 40
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值