首页
论坛
课程
招聘
[原创]驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶
2021-9-12 07:53 10641

[原创]驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶

2021-9-12 07:53
10641

驱动级VT虚拟化技术EPT实现无痕HOOK保护指定进程。

 

懂VT的内核安全逆向人员,可以秒杀不懂VT的人员,VT学习交流群244684999

 

VT EPT原理解析和进阶.VT开启EPT后。绕过pg检测,无视目前任何内核检测工具的检测如PCHander检测不到HOOK.
本次案例实现欺骗系统达到无痕HOOK SSDT中的NtOpenprocess保护calc程序的内存,让OD,CE工具无法附加搜索。

  1. EPT的概念
      EPT(Extend Page Table)扩展页表机制,可以让Guest机使用一份自己构建的页表
      GPA(Guest-Physical Address)、HPA(Host-Physical Address)
      当Guest访问内存时,其最终会生成一个GPA,其EPT的页表定义在Host端,处理器在收到guest传递过来的之后,通过EPT页表转换为HPA,从而访问物理内存。
       图片描述
    2.构建EPT并开启的代码实现
    图片描述
    3.EPT下HOOK SSDT NTOpenProcess的代码实现
    图片描述
    4.WIN7X64系统下的EPT HOOK SSDT演示
    图片描述
    图片描述
    4.核心源码分享,看反应公开源码,见附件

2021 KCTF 秋季赛 防守篇-征题倒计时(11月14日截止)!

上传的附件:
收藏
点赞6
打赏
分享
最新回复 (28)
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_acurqfhn 活跃值 2021-9-12 08:18
2
0
楼主好人,谢谢分享
雪    币: 1541
活跃值: 活跃值 (879)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
はつゆき 活跃值 2021-9-12 08:34
3
0
好秒
雪    币: 1940
活跃值: 活跃值 (713)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
iamasbcx 活跃值 2021-9-12 09:29
4
0
等抄
雪    币: 432
活跃值: 活跃值 (1006)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
萌克力 活跃值 2021-9-12 09:37
5
0
有屌用
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_acurqfhn 活跃值 2021-9-12 09:40
6
0
vt可以干任何事情。啥叫没用?原理弄懂挺难,要有高手指点
雪    币: 4969
活跃值: 活跃值 (544)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
DemonsEllen 活跃值 2021-9-12 10:48
7
0
mark  谢谢分享
雪    币: 2160
活跃值: 活跃值 (880)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
大鲤鱼 活跃值 2021-9-12 10:54
8
0
win7的,一个单独sys啊……
雪    币: 207
活跃值: 活跃值 (1140)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2021-9-12 13:28
9
0
可以让读写页和执行页处于两个不同的页,直接都无视pg了
雪    币: 152
活跃值: 活跃值 (688)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huojier 活跃值 2021-9-12 15:46
10
0
打开任何大于1803的内核文件,搜KiErrata671Present
雪    币: 0
活跃值: 活跃值 (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
曲风 活跃值 2021-9-12 16:45
11
0
我也有源码找我
雪    币: 1042
活跃值: 活跃值 (903)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
~时光荏苒 活跃值 2021-9-13 22:18
12
0
觉得挺不错的
雪    币: 2134
活跃值: 活跃值 (553)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hekes 活跃值 2021-9-14 09:19
13
0
mark
雪    币: 352
活跃值: 活跃值 (202)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
贝优妮塔 活跃值 2021-9-14 11:32
14
0
我有一份可以用ept 虚拟化本机 hook R3进程  但是很卡。。
雪    币: 2093
活跃值: 活跃值 (1189)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
caolinkai 活跃值 2021-9-14 11:39
15
0
谢谢分享
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
hatTrick 活跃值 2021-9-14 12:18
16
0
https://github.com/zhuhuibeishadiao/PFHook 源码在这里
你们这个群,小火以前是在滴水受过培训的,群里面全是聊一些QJ女性啊还有什么怎么用望远镜偷看对面楼女生洗澡这种,小火还乐在其中的样子,就这还当老师给人培训?
雪    币: 163
活跃值: 活跃值 (1191)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ookkaa 活跃值 2021-9-14 23:13
17
0

雪    币: 4430
活跃值: 活跃值 (644)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
superlover 活跃值 2021-9-15 08:08
18
0
hatTrick https://github.com/zhuhuibeishadiao/PFHook 源码在这里 你们这个群,小火以前是在滴水受过培训的,群里面全是聊一些QJ女性啊还有什么怎么用望远镜偷看对面楼女生 ...
啊这,原来高等人类的精神世界这么空虚。难道是传说中的空虚公子?
雪    币: 54
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
那年没下雪 活跃值 2021-9-15 08:43
19
0
你们这个群,小火以前是在滴水受过培训的,群里面全是聊一些QJ女性啊还有什么怎么用望远镜偷看对面楼女生洗澡这种,小火还乐在其中的样子,就这还当老师给人培训?
雪    币: 92
活跃值: 活跃值 (377)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hixhi 活跃值 2021-9-15 10:01
20
0
hatTrick https://github.com/zhuhuibeishadiao/PFHook 源码在这里 你们这个群,小火以前是在滴水受过培训的,群里面全是聊一些QJ女性啊还有什么怎么用望远镜偷看对面楼女生 ...
可以举报该群,这种说白了就是在教唆犯罪,早点送去接受社会主义改造才是正事。
雪    币: 3716
活跃值: 活跃值 (1761)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
昵称好麻烦 活跃值 2021-9-15 12:34
21
0
请问一下你的PCHunter为什么还可以用?我这边就用不了......
雪    币: 13
活跃值: 活跃值 (203)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lukarl 活跃值 2021-9-15 19:01
22
0
这种垃圾帖子应该封杀掉,只有一个Bin,源码都一堆了
雪    币: 263
活跃值: 活跃值 (616)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wx_0xC05StackOver 活跃值 2021-9-15 19:57
23
0
我都无语了 hyperPlatform不香么 KVM不好看么 PFHOOK不能看了么 这种垃圾帖子也好意思发????还就一个bin 梁静茹给你的勇气?
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_123_292 活跃值 2021-9-17 10:15
24
0
楼主好人,谢谢分享
雪    币: 222
活跃值: 活跃值 (506)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hackflame 活跃值 2021-9-18 21:04
25
1
hatTrick https://github.com/zhuhuibeishadiao/PFHook 源码在这里 你们这个群,小火以前是在滴水受过培训的,群里面全是聊一些QJ女性啊还有什么怎么用望远镜偷看对面楼女生 ...
本来是不想理你的,我教你了。还是教你孩子了?
你是小学生嘛?别一天到晚装装装,搞不好自己偷偷的在什么角落,疏通下水道!
在说一句,特么我认识你么?SB
游客
登录 | 注册 方可回帖
返回