《TinySvm》基于NPT的无痕hook

于 2023-11-30 12:34:10 发布
阅读量144 收藏 1
点赞数
文章标签: 安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47707022/article/details/134708863
版权

在这里插入图片描述
启动驱动,逐个虚拟化cpu,在这里插入图片描述
hook Ntopenprocess函数做进程保护在这里插入图片描述
hook成功
在这里插入图片描述
当调试器附加时,进程句柄不再打开
在这里插入图片描述
同时ARK工具下无法观测,实现无痕hook,原因是ARK所读的嵌套页表(NPT)是原始无改的,但在权限上被设为不可执行,所执行的页表含上述hook代码,权限为可执行不可读写,原理与vt hook相同,差异主要存在于对页表的检索。
代码连接https://huanfuhezi.lanzouq.com/b276yhg

weixin_47707022
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
绕过HS保护的CRC校验
02-25
之前写一款游戏辅助研究了下原理 不同版本的HS原理大致相同 编译的时候可能需要更新一下基址
[Rootkit] 无痕 hook - 硬件断点
LYSM
06-10 3012
hook方式有多种,这里做了一个系统性的总结对比,如下: https://www.cnblogs.com/theseventhson/p/14324562.html 之前这里做了接受消息的hook,用的就是最初级的hook方式: jmp到我们自己的处理逻辑。上面也分析了,这种方式缺点非常明显;最牛逼的神级hookVT读写分离前面已经介绍过了,今天继续介绍高级的hook方式:硬件断点; 现代软件开发,尤其是大型软件开发,绝对不可能一步到位,开发期间肯定存在各种bug。为了方便找到这些bug,软件上有专门
开启了EPT的VT源码-支持win10x64
12-25
开启了EPT并实现了SSDT无痕HOOKVT框架源码,不触发PG,可在win10x64位下运行
易语言-利用硬断+VEH实现APIHOOK
06-25
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用某API  大牛就别来吐槽了 - -转来的哦 只在XP WIN7 X32 下测试通过
无痕HOOK方式=硬断+VEH
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
2.VT调试器之无限硬件断点.rar
10-20
VT调试器来代替传统的OD调试器
[VT虚拟化驱动]利用EPT实现无痕HOOK
热门推荐
吾无法无天的博客
12-06 1万+
本章利用讲EPT无痕HOOK
完美绕开CRC32检测的无痕hook
陈子青的博客
07-18 4308
Hook英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从A到B顺序来执行,此时我们在A点做Hook,将程序执行路线变成了从A点先到C点再到B点,这个过程就叫Hook,C点这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序的执行出我们想要的结果。(记住此时的ABC,下文都以此为例)............
Hyperplatform VT HOOK
weixin_33748818的博客
10-20 1272
源码:https://github.com/tandasat/DdiMonhttps://github.com/tandasat/HyperPlatform 转载于:https://blog.51cto.com/haidragon/2306936
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
小型Tiny-SVM
09-28
A small SVM implementation, written in C++ ,比较好用的工具
VC编程:汉字识别(带字库)TinySvmTest
02-10
VC编程:汉字识别(带字库)TinySvmTest 很好的VC编程算法!模式识别算法!
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
易语言 完美硬断源码
08-11
修改的硬断,完美支持某讯game,
NPT螺纹标准
03-11
NPT螺纹的相关标准,可供参考,还比较详细,对检验机械物料还是有帮助的
手机APP数控用软件 NPT螺纹1.5 .apk
03-18
手机APP数控用软件 NPT螺纹1.5
SimpleSvmHook:SimpleSvmHook是用于AMD处理器上Windows的研究目的虚拟机管理程序
05-10
它挂接内核模式功能,并保护它们不被嵌套页面表(NPT)使用,该页面是AMD虚拟化(AMD-V)技术的一部分。 该项目旨在作为AMD处理器上虚拟机自检(VMI)的示例实现,并着重说明与Intel处理器上类似VMI实现的区别。 ...
NPT美制管螺纹
04-29
NPT美制管螺纹NPT美制管螺纹NPT美制管螺纹NPT美制管螺纹NPT美制管螺纹
如何开启npt
最新发布
06-02
开启NPT需要满足以下条件: 1. CPU支持NPT技术; 2. 主板支持NPT技术; 3. 虚拟化软件支持NPT技术; 4. 操作系统内核支持NPT技术。 如果以上条件都满足,那么NPT一般是默认开启的,不需要手动进行配置。如果你想确认系统是否开启了NPT,可以使用以下命令: ``` cat /sys/module/kvm_intel/parameters/nested ``` 如果输出为"Y",表示NPT已经开启;如果输出为"N",表示NPT未开启。如果你使用的是AMD CPU,可以使用以下命令: ``` cat /sys/module/kvm_amd/parameters/npt ``` 同样,如果输出为"Y",表示NPT已经开启;如果输出为"N",表示NPT未开启。 如果NPT未开启,你可以在BIOS中查找相关的设置,或者在虚拟化软件中进行配置。具体的操作方法因系统和软件而异,可以参考相关的文档或者向厂商咨询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值