首页
论坛
课程
招聘
针对TP hook 0E 页表异常断点 处理方法 理论处理
2017-5-10 02:05 5214

针对TP hook 0E 页表异常断点 处理方法 理论处理

2017-5-10 02:05
5214

恢复OE hook处理 不小菜不会 所以想了个方法 没实践 不过理论可行。

先说理论流程,我们都知道。TP处理了页表 就是CR3 这里说的环境是无VT win7 X64.

在虚拟机环境,完全确定无VT下 创建进程回调 先拿到CR3的值 然后创建个系统线程延时10秒后对比 CR3后恢复内存读写就OK了。

那么在实体机器上就不同了,BIOS关闭VT 不彻底(不应该是不彻底 是BIOS关不掉),但是TP还是HOOK了OE 而CR3症状是 不仅CR3值被改,连PDE PTE表也会被清0,

那么这个情况。我们读内存流程最后就是KeStackAttachProcess后切换CR3 ,当系统进程正常读写的时候因为CR3值为0会产生个OE中断TP在里面判断进程合法后给CR3正确赋值(当然这里完全可以保存你所读他保护进程的地址。然后上传分析。)然后返回中断EIP继续执行 那么我们可以在执行完正常读内存流程后 切换回原CR3 拦截得到 正确的页表KeUnstackDetachProcess这个地方 当正确系统进程拿到需要读的值后 会切换回原CR3 ,这个时候我们就可以判断当前进程CR3是否是DXF 当前线程是否为csrss进程 如果是 那么我们就保存当前 TP的CR3和页表 这样就能自己换算直接读物理内存 (爽歪歪直接读写 ,TP完全无任何感知,除了CRC),当然你也可以 恢复被他清0了的页表 走正常流程读写,不过现在还得处理句柄权限,还有msr寄存器,说不定那个地方就被他感知了。 所以直接物理内存,安全无副作用。美滋滋.连内存属性都可以不用管 。哪怕是虚拟内存不允许写入。你照样给他写进去。(语文不好,自己想法。有错误别喷.欢迎指出)


2021 KCTF 秋季赛 防守篇-征题倒计时(11月14日截止)!

收藏
点赞0
打赏
分享
最新回复 (8)
雪    币: 49
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ravenhu 活跃值 2017-5-10 02:49
2
0

他是在attach的时候是tp里赋值,在keunstack这个值会不会也是个0?等待tp恢复?

雪    币: 41
活跃值: 活跃值 (94)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
niceli 活跃值 2017-5-10 03:14
3
0
ravenhu 他是在attach的时候是tp里赋值,在keunstack这个值会不会也是个0?等待tp恢复?
不是这样的  keunstack  这个值是正确的  但是他不会处理CR3里面的  因为页表清0后他就不会管了。页表他保存了一份  直接给CR3给了真实的。这就相当于是2份页表  一份程序用的eprocess  +0x28  这份清0  另一份自己保存.清0那份他不会恢复。所以不存在  读后还在在清eprocess里面的.
雪    币: 10181
活跃值: 活跃值 (3884)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2017-5-10 09:19
4
0
难道这就是传说中的影子页表大法
雪    币: 771
活跃值: 活跃值 (33)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
ghostway 活跃值 1 2017-5-10 10:45
5
0

*****************

雪    币: 206
活跃值: 活跃值 (961)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2017-5-10 12:15
6
0
BIOS关闭VT就是彻底关了
hook  0E跟VT无关,过掉PG即可
雪    币: 1583
活跃值: 活跃值 (303)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
z许 活跃值 2017-5-11 00:55
7
0
windows对虚拟内存权限管理得死死的。物理内存却不管。
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
零点vision 活跃值 2017-5-18 09:12
8
0
能留个联系方式吗
雪    币: 47
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
陈晨a 活跃值 2017-12-11 01:09
9
0
tp学习了
游客
登录 | 注册 方可回帖
返回