首页
论坛
课程
招聘
[系统内核] [虚拟化] [讨论]Eac对抗HyperVisor的实现
2021-3-9 23:20 5044

[系统内核] [虚拟化] [讨论]Eac对抗HyperVisor的实现

2021-3-9 23:20
5044


no1:

                        
FFFFF80BDB94F490 C7 F8 03 00 00 00     xbegin  locret_FFFFF80BDB94F499
FFFFF80BDB94F496 0F 01 D5         xend
FFFFF80BDB94F499
FFFFF80BDB94F499               locret_FFFFF80BDB94F499: 
FFFFF80BDB94F499 C3             retn
FFFFF80BDB94F49A                         
FFFFF80BDB94F49A C7 F8 0A 00 00 00    xbegin  loc_FFFFF80BDB94F4AA
FFFFF80BDB94F4A0 8A 01           mov     al, [rcx]
FFFFF80BDB94F4A2 FF D1           call    rcx
FFFFF80BDB94F4A4 0F 01 D5         xend
FFFFF80BDB94F4A7 B0 01           mov     al, 1
FFFFF80BDB94F4A9 C3             retn
FFFFF80BDB94F4AA                        
FFFFF80BDB94F4AA
FFFFF80BDB94F4AA               loc_FFFFF80BDB94F4AA: 
FFFFF80BDB94F4AA 32 C0           xor     al, al
FFFFF80BDB94F4AC C3             retn
FFFFF80BDB94F4AC


no2:

FFFFF80BDB94F4c0          sgdt    fword ptr [rcx]
FFFFF80BDB94F4C3          retn

no3:

FFFFF80BDB94F46F 0F 01 3A    invlpg  byte ptr [rdx]
FFFFF80BDB94F472 F0 FE 01    lock inc byte ptr [rcx]
FFFFF80BDB94F475 8A 02      mov     al, [rdx]
FFFFF80BDB94F477 FF D2      call    rdx
FFFFF80BDB94F479 F0 FE 09    lock dec byte ptr [rcx]
FFFFF80BDB94F47C C3        retn
FFFFF80BDB94F47C


no4:

FFFFF80BDB94F45C          sub_FFFFF80BDB94F45C proc near
FFFFF80BDB94F45C 53        push    rbx
FFFFF80BDB94F45D 57        push    rdi
FFFFF80BDB94F45E 48 8B F9    mov     rdi, rcx
FFFFF80BDB94F461 48 33 C0    xor     rax, rax
FFFFF80BDB94F464 F0 FE 07    lock inc byte ptr [rdi]
FFFFF80BDB94F467 0F A2      cpuid
FFFFF80BDB94F469 F0 FE 0F    lock dec byte ptr [rdi]
FFFFF80BDB94F46C 5F        pop     rdi
FFFFF80BDB94F46D 5B        pop     rbx
FFFFF80BDB94F46E C3        retn
FFFFF80BDB94F46E          sub_FFFFF80BDB94F45C endp


no5:

FFFFF80BDB94F450 0F 78 0A     vmread  qword ptr [rdx], rcx
FFFFF80BDB94F453 0F 94 C0     setz    al
FFFFF80BDB94F456 0F 92 C1     setb    cl
FFFFF80BDB94F459 12 C1       adc     al, cl
FFFFF80BDB94F45B C3         retn


hypervisor下tsc差距非常大的情况下仍然不会触发?



第五届安全开发者峰会(SDC 2021)议题征集正式开启!

最后于 2021-3-10 17:52 被xiaofu编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (11)
雪    币: 315
活跃值: 活跃值 (279)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qdjytony 活跃值 2021-3-10 03:22
2
1
单总NB~
永远滴神!
雪    币: 4494
活跃值: 活跃值 (1971)
能力值: ( LV7,RANK:150 )
在线值:
发帖
回帖
粉丝
淡然他徒弟 活跃值 1 2021-3-10 04:37
3
0
这就是我明知道我跟单总的差距,还追不上他(狗头)
雪    币: 4398
活跃值: 活跃值 (432)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
如斯咩咩咩 活跃值 2021-3-10 12:48
4
0
这就是我明知道我跟单总的差距,还追不上他(狗头)
雪    币: 545
活跃值: 活跃值 (221)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
hkfans 活跃值 3 2021-3-10 13:51
5
0
有大神解释下吗,看不懂:)
雪    币: 535
活跃值: 活跃值 (386)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
bambooqj 活跃值 2021-3-10 15:00
6
0
这就是我明知道我跟单总的差距,还追不上他(狗头)
雪    币: 1848
活跃值: 活跃值 (407)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
木志本柯 活跃值 2021-3-10 19:42
7
0
说不定只是记录异常上传
雪    币: 151
活跃值: 活跃值 (562)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huojier 活跃值 2021-3-11 12:58
8
0
还有一个tbs.sys->Tbsip_Submit_Command 
雪    币: 9922
活跃值: 活跃值 (3153)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2021-3-11 13:49
9
0
经典火鸡哥
雪    币: 610
活跃值: 活跃值 (228)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
ugvjewxf 活跃值 2021-3-12 22:53
10
0
单总NB~
永远滴神!            检测360吗? 检测VMWARE吗?检测安卓模拟器吗?
雪    币: 211
活跃值: 活跃值 (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
黄枫叶 活跃值 2021-3-15 01:27
11
0
大佬。。QQ好几个月没见你回了。。托付给你的项目搞定了吗?
雪    币: 3320
活跃值: 活跃值 (656)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
朱年吉祥 活跃值 2021-3-15 15:10
12
0
good
游客
登录 | 注册 方可回帖
返回